记一次挖洞经历

起始

今天早上有个表哥在群里发了这样一条消息：

很好，我就去注册了一个

随便水了一篇稿件转正，居然用的markdown，好家伙，想起之前我用typecho建站，后台写了xss的poc上去，保存编辑查看全是弹窗，测试了一下，貌似没有。

点击个人主页，想着修改头像，看到个性签名，我想着，我这么菜，肯定要写上“师傅带带我、师傅带带我我做你的舔狗”等等，但是一看，嚯哟，居然可以添加<a>标签

如图：

wow，o mo shi ro i！那就测试一下呗

这里我没截到图，主要是忘了

我简单说一下叭

测试

首先测试了一下<a href="https://www.google.com"><img src=1 onerror=alert(1)></a>，保存成功？还真保存成功了。回到首页刷新

？？？

img标签直接无了，那没办法，咱们就只能用a标签测试了

用a标签测试，那就添加事件行为，比如：

<a href="www.google.com" onmousemove=alert(1)>123</a>很遗憾，alert一个406，草，这是有过滤啊，不要方，那就把alert拆开来试试

<a href="www.google.com" onmousemove="top['ale'+'rt'](0)">123</a>

除了这样，还可以用window['al'+'er'+'t(1)']，还能'ale'.concat('rt','(1)')，eval('ale'+'rt(1)')

如图：

PS：document.cookie给过滤了，懒得去绕，绕了截图还要打码

现在点击保存成功，回到首页康康

测试成功

方法

除了添加事件型，还可以这样：

<a href="data:text/html;base64,amF2YXNjcmlwdDphbGVydCgxKQ==">123</a>

也可以

<a href="javascript:alert(1)">123</a>

方法很多，比如实体编码Unicode编码等等这里就不一一列举了

后续

找到了客服说明了缘由，并复现出来了，确实存在存储型漏洞，现在已经修复，不解析a标签了

又水了一篇，顺便找个师傅带带我QAQ我很好带的，我会端茶送水按摩压腿。

网络￥安全联盟站—李白你好

欢迎关注[李白你好]-文章内容涉及网络￥安全，web渗透测试、内网安全、二进制安全、工业控制安全、APP逆向、CTF、SRC等。

微信：libaisec

微信交流群：加我微信拉你进群和工程师们学技术聊人生