00×01 前言

这几天我无意间看到了一个微社区程序——ROCBOSS

研究了一下这套程序，使用的整体效果还不错（虽然功能不多），所以我准备对这个程序做一次灰盒测试。

大家搭建时按照下载页面的提示编辑源码就OK了。

这次我找准了漏洞挖掘的目标——存储型XSS漏洞，因为如果是微社区的话，相对于其它网站（比如说公司官网之类的）而言，微社区存在存储型XSS漏洞的可能性更大大，XSS漏洞可以存在于个人资料处，文章发表处或者留言评论处等等，而其它网站就没留这么多机会给XSS漏洞了。

00×02 挖掘过程

首先，我在文章发表处和评论处都尝试插入XSS代码，但根据结果来看，程序把输出的内容都实体化了，插入的XSS代码没起效果。

就在这时，我发现网站还有一个很不起眼的功能——私信，于是，我开始给我注册的另一个帐号发送一条私信，私信中插入XSS代码，内容如下：

结果如图

image

证明有戏，程序没有把私信的内容实体化

查看源代码

image

过滤了<script>标签

说明程序有过滤XSS脚本

这时我们来看看过滤XSS的脚本(/system/util/Filter.php)：

image

XSS过滤脚本在该文件的73-136行

因源代码较多，这里就不全部发了，这里我们发比较重要的几段：

$ra1 =Array('javascript','vbscript','expression','applet','meta','xml','blink','link','script','embed','object','iframe','frame','frameset','ilayer','layer','bgsound','base','style');
$ra2 =Array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate','onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange','onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick','ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate','onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete','onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel','onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart','onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop','onsubmit','onunload');

我们可以看到，很多标签和事件都被过滤了

但是，黑名单肯定都存在绕过的可能

也许你已经注意到了，脚本并没有过滤eval函数和ontoggle事件

所以我们可以构造如下XSS代码