VULHUB ™

### 简要描述： 至少有4处以上 ### 详细说明： ``` [WooYun: ThinkSAAS存储型跨站(2处)](http://www.wooyun.org/bugs/wooyun-2014-084965) ``` 这个位置现在已经修复过，直接输入javascript被过滤而引发上次问题没过滤的&被转译成&amp;所以上次的payload已经不适用了 发现这个点是基于黑名单的过滤，黑名单的过滤肯定会有考虑不到的地方 这次将payload转换为data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg== 这样的话一样可以触发xss ### 漏洞证明： 这个问题通用地存在所有有插入超链接这个按钮的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=group&ac=create ``` 创建小组的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=group&ac=add&id=3 ``` 小组中发布帖子的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=article&ac=add ``` 写文章的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=attach&ac=create ``` 创建资料库的位置 这些都是普通用户可以添加记录的位置，就给出一个的图吧 其他都是一样的 [<img src="https://images.seebug.org/upload/201505/081108157ada6798754e58be25ae5580efe0cdb2.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/081108157ada6798754e58be25ae5580efe0cdb2.png) 这里还是同上一次需要抓包将请求a标签的href属性中的http://去掉，发完之后看看效果 [<img...

### 简要描述： 至少有4处以上 ### 详细说明： ``` [WooYun: ThinkSAAS存储型跨站(2处)](http://www.wooyun.org/bugs/wooyun-2014-084965) ``` 这个位置现在已经修复过，直接输入javascript被过滤而引发上次问题没过滤的&被转译成&amp;所以上次的payload已经不适用了 发现这个点是基于黑名单的过滤，黑名单的过滤肯定会有考虑不到的地方 这次将payload转换为data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg== 这样的话一样可以触发xss ### 漏洞证明： 这个问题通用地存在所有有插入超链接这个按钮的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=group&ac=create ``` 创建小组的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=group&ac=add&id=3 ``` 小组中发布帖子的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=article&ac=add ``` 写文章的位置 ``` http://127.0.0.1/reshow/thinksaas/index.php?app=attach&ac=create ``` 创建资料库的位置 这些都是普通用户可以添加记录的位置，就给出一个的图吧 其他都是一样的 [<img src="https://images.seebug.org/upload/201505/081108157ada6798754e58be25ae5580efe0cdb2.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/081108157ada6798754e58be25ae5580efe0cdb2.png) 这里还是同上一次需要抓包将请求a标签的href属性中的http://去掉，发完之后看看效果 [<img src="https://images.seebug.org/upload/201505/081109168b102419dc7d03a89cf4dc5a6d5339ad.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/081109168b102419dc7d03a89cf4dc5a6d5339ad.png) 已经将payload插入进来了，点击触发 [<img src="https://images.seebug.org/upload/201505/08111127c6de98993380ecc9b4a167f4746ccdca.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201505/08111127c6de98993380ecc9b4a167f4746ccdca.png) Chrome下测试成功，FF不弹窗但是成功添加了img标签