简要描述：

有些时候，我们拿现成的XSS代码都不行，都被过滤了，那么需要我们对过滤的规则进行一定的判断与猜测。然后针对性的使用一些技巧来适应或者绕过规则。

在本例中，我们以QQ空间/QQ校友的日志功能为例，通过猜测简单的过滤规则，然后使用含有addCallback的flash，来实现了存储型XSS的构造。

详细说明：

1. 前提：本例需在IE9，IE10下进行。

2. 我们乌云上报告的一些已有案例，进行了再次测试。上例中，提到了QQ空间日志并未对object标签进行有效的过滤。3. 我们根据此例中的代码对过滤规则进行测试：

以上的代码，是可以正常提交，并且未过滤的。

而当swf的域名不是qzs.qq.com时候，代码将会被过滤为以下内容。

即地址被去掉了。4. 那么我们已知了这个过滤规则， 就有2种绕过的方式。4.1 找到一个qzs.qq.com域名下存在缺陷的FLASH，然后加以利用。此方法，已经在 @gainover 的  有所介绍了。4.2 利用Flash的addcallback缺陷来构造存储型XSS。5. 首先说下flash addcallback方法的基本原理。根据flash sdk 里的源代码，我们可以得到flash addcallback 的源代码中有以下代码。

if ((((activeX == true)) && (!((objectID == null))))){
    _evalJS((((("__flash__addCallback(document.getElementById(\"" + objectID) + "\"), \"") + functionName) + "\");")); };

其中objectID为调用FLASH的HTML标签的ID。functionName则为被JS所调用的函数名称。6. 当我们有以下代码时：

且http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中存在一句ExternalInterface.addCallback("myfunc",funcInFlash);则有

objectID="aaaa"; functionName="myfunc";

代入上面那句_evalJS中，则有

__flash__addCallback(document.getElementById("aaaa"), "myfunc");

7. 那么我们可以想象一下，如果 aaaa 替换为 aaaa"),alert(1),("则上面代码变为

__flash__addCallback(document.getElementById("aaaa"),alert(1),(""), "myfunc");

解析：

8. 且FLASH中，确实未对objectID做任何过滤。 基于以上内容，我们可以构建利用代码。

我们自己用上面这段代码先在自己网站上测试下：

看，果然id里的代码被执行了！9. 利用以上原理，接着我们在QQ空间里来做测试，至于FLASH么，就是现成的！虽然这个FLASH里没有缺陷，但是存在addCallback的调用，我们就可以直接用它。

发布日志，使用以上代码

10. 当用户访问含有XSS代码的日志后，我们可以在xsser.me查看所记录的cookies内容。