1. valine漏洞
根据一个GitHub Issue:https://github.com/xCss/Valine/issues/352 ,valine评论系统中的Link字段没有经过严格过滤,虽然直接提交javascript:会被在前面强制加上http://,但是后面的部分没有做过滤,使用引号闭合当前的href和a标签后,可以向页面嵌入任意代码,甚至重写整个页面。
2. 测试这个漏洞是能用的
# curl 构造link字段,让页面不断弹alert "link": "\" /></span><img src='none' onerror='setInterval(function(){alert()},10);'/>",
3. 使用valine源码,脱离页面
理论上来说拿到appId
,appKey
,就直接能调用接口,发评论了,前端对字段的过滤形同虚设。
在valine源码中,搜索submit
,直接就能找到,发送评论的功能。同时参考 LeanCloud的文档 ,很快就搞清了。
安装依赖。
npm init # 安装leancloud-storage包 npm install leancloud-storage --save
直接调用入库接口的代码。需要注意appId
,appKey
不同网站有不同的值。defaultComment
是构建的评论参数,其中的url
是页面的路径,link
是构造的需要搞怪的代码,这里是建了一个遮罩层,覆盖原有页面。
4. 搞怪效果
https://flatblowfish.github.io/valine-prank/
5. 寻找使用valine的网站
在valine主界面:https://github.com/xCss/Valine ,Used by
中都是。
valine文档 中,一些站长留下了网站链接。
在网站中的友链中,可以寻找。
6. 源码
7. 声明
本站用爬虫恶作剧了以下网站,每个网站收集了三五十个页面,每个页面刷了两个评论,实际上的效果要差的多,有的网站根本没有爬到,有的页面根本就没有显示评论,有的页面刷的评论也没刷上去。
8. 写给特别轴的人
一个无伤大雅的玩笑,你总是上纲上线,你这么走心,让我觉得你真可怜,我骗你啥了?你往好的方面想,我是不是给你普及了一次电脑知识,要是真有骗子来搞,你还不立刻上当啊?
9. Valine更新了
多年以后,面对GitHub,valine·xCss 的作者将会回想起被枫糖恶搞后,不得不发连发两个 release 的那个遥远的晚上。
10. 恶作剧一个月后
一些博主被恶作剧后,发布的文章:
一次博客被 XSS 的经历 中说被刷了99条评论。我的爬虫开始设置爬15个页面就结束,后来看js调用leancloud刷评论,有的时候会漏掉,索性把爬虫设置为爬取50个页面,然后每个博客刷了两遍,正好100条评论。
11. 被恶作剧的网友派别
吓尿派:“搜索了一晚上相关案例”,这人还有自己博客,是个技术博主,一晚上想象着自己主演的监狱风云,居然没来骂我,真是好脾气。
有病派:
恶心派:这么被恶心,也就是“离谱”的审美,看来本博客的确很漂亮。
有趣派:这都是博主和后来论坛来的,不算直接被恶作剧的,都觉得有意思。可见,痘痘长在别人脸上,不让我担心,这是一真理。
二次惊吓派:恶作剧后不久,我在页面放了一个会叫的小恐龙。被恶作剧的人,三魂七魄被吓得只剩下一魂一魄,点击了“点击继续访问”的按钮,跑到我的网页,发现是个恶作剧,心情刚刚平复,突然我的小恐龙嗷一嗓子,又吓他一跳,这一魂一魄也没了。
小丑派:这个“鳝鱼主任”的评论是我的最爱,画面感非常强。可以想象,他被恶作剧后,大吃一惊,心都要跳出来了,被吓尿了。然后不知过了多久,平复心情后,小心翼翼得点击了“点击继续访问”的勇者按钮,跑到我的网页,发现是个恶作剧。有种劫后余生的感觉,一脚地狱,一脚天堂,表情都扭曲了。然后大笑着说:“哈哈哈,弄死你们!”。和蝙蝠侠里的小丑一样,哈哈哈。
操我妈,我站崩了
這好玩嗎?
請立即刪除
我用你的网站测试的爬虫,没办法,你自己删吧,统共就几条评论。
还挺有意思的
但是别再评论我了
哈哈哈
有病
有病吗?
这是有什么毛病吗?需要用原来的网站,没法访问了。
恶作剧的真的可以!嘻嘻嘻
你有什么毛病???你特么没吓死老子
哈哈哈弄死你们
你真的有什么大病.
有毛病
123123
asd
有病就去看医生
有病就去看医生
大家都是搞技术的,你这么做不怕被报复么?
欢迎来恶搞我的小博客,无所谓
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生好吗?
有病你就去看医生
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
有病你就去看医生好吗?3ea35abd-a03b-4e0a-a80f-5443bdaf16a9
。。。。。。
我就把你的评论截断了啊。
这是想施法没有施好吗?
傻逼玩意:
blog.maplesugar.top-104.21.3.168
demo.maplesugar.top-172.67.130.245
网站都套了CloudFlare,这是干啥啊?
感谢博主的科普
你很大气哦
属于是烂活。
如果是你发现的漏洞你秀一下还好,我敬你牛逼,可惜你在利用别人发现的漏洞影响别人的使用体验,
那我只能敬你傻逼了
这么简单的一个漏洞,你就敬了?你个傻逼,连个邮箱都没有,还在这里评头品足,你有个几把的公信力。
最烦你们这些装逼的,别人都说的一清二楚,还装什么诸葛亮,你有个几把的脑子。
类似的傻逼从好几天前就开始攻击我博客,到现在连个评论都破解不了。一群傻逼,连四个字母的验证码都破解不了,装什么逼?你有个几把的技术。
都不是我恶作剧的博主,连个网址都没有,越俎代庖,你装个几把的代表。
还影响你使用体验,没看到已经说明了就是个层遮罩吗?F12直接删除就好了,你有个几把的正义。
我刷的这一百八十个小博客,全部的日访问量只有三四百,有什么你特别需要的信息?信息流底层的用户吧?你算个几把的用户。
还几把“[email protected]”,搞得我的邮件程序连连报错,跟自己多神秘,多么有文化一样,“example”跟三年级英语老师刚学的吧!你有个几把的文化。
还特么搞个“总分总”,你还真走心呢?没看到标题是恶作剧吗?你个心理脆弱的傻逼。你有个几把的道理。
还“属于”、“还好”、“可惜”、“只能”,你自己活明白了吗?你有个几把的价值判断。
别来别人的地盘丢人显眼了!还“没有人”,也没人把你当人看。快点滚吧!
发完了评论,还刷新一下,一看没有显示立刻关了。笑死我了,在我这里评论一下这么爽?我不给你过,你能怎么着。
博主,我妈死了,我老婆被让强将了,我孩子掉粪坑里淹死了。我全家不得好死!
大半夜又跑回来看一眼,笑死我了🤣
今日一见,才知我是跳梁小丑
我可真秀啊
我觉得很好玩?
哈哈哈哈哈有意思的
我是sb
有本事就别天天搞恶作剧,有技术就去做些实用的事,否则万世流芳
初二,小粉红,还来教育我?不知道什么垃圾学校的前十五都排不进去?
您这句“这时,中国共产党勇敢站出来了!”,着实让我猝不及防啊,这是穿越时空的蒙太奇手法?自己反对自己?《前目的地》看多了?直接自交!降级为PLANT?
就你这成绩,还是工地搬砖比较合适,哈哈哈。
你这文章有问题啊?和王安石斗智斗法?皇帝老子去哪了?是你不敢批评吗?
“苏轼“一蓑烟雨任平生”的精神”?苏轼这诗里还有一句“竹杖芒鞋轻胜马,谁怕?”,我没搞错是反对官僚体系的吧?你胆子不小啊!
被骗了,哈哈哈。我就说我的恶搞有极大的教育意义,让人不再上当!
总结一下:五星红旗,它的名字,比你生命更重要!
还改我的评论,是啊,你是真的《万 世 流 芳》,一个 wp 博客套 CloudFlare 有什么了不起的,我学习怎么样和你什么关系,你自己政治都没学好吧!还给我的文章找茬?我看你就是狗鼻子。对啊,我是初二,但你这“人”心理年龄还停留在xxs吧!!
骂我的评论我都改了,你没发现吗?
想要看我服务器IP,发现套了CloudFlare,攻击不到,完了吧!
一个几把小粉红,快点滚吧,这里不欢迎你!
什么叫我没发现,评论的第一句也能漏看,建议去医院查查眼睛
真不知道什么学校能教出这样“文明”的你
当然是加里敦大学了!
先不管你上的是加里敦还是家里蹲,你这位“素质人”真得从幼儿园重新上起了
这回学聪明了?知道骂我会被改评论,都用上引号了?
教给你个知识:引号表示否定,用来产生讽刺的意味。这是初二语文课本上的吧?用来给你这个学渣加加分。
你们老师还真厉害呢?都能钻你家房里,偷听你和奶奶的私密谈话了。建议改名为-黄鼠狼。
首先,你的恶搞对于可能会对一些不了解的人造成误解,毕竟像一些小白看见这些东西第一时间会是受到惊吓,以前也确实有因为翻墙而被喝茶的,如果这类人不进一步了解的话,可能会焦虑几天。其次,看你说的是恶搞小博客,无伤大雅,但相信任何人都不想自己的博客被搞,即使博客每天只有博主一人,并且确实有一些小博客也有一些好东西。
第一,恶搞的意思就是第一时间让你受到惊吓,恶搞视频不就是为了拍表情嘛?我获得了很多用户数据,非常有趣。
第二,我留了链接,他们肯定会进一步了解的。假设,最坏情况,有小白相信了,直接关了网页,有什么用呢?恶搞文案已经写明,“记录了IP”。所以,他会在心情平复后,查看到底是什么状况,进而点击我留的链接。所以,你说的,“有人可能不进一步了解的情况”是不存在的。
第三,什么小博客之类的,是为了反驳上面评论说的,不是什么重要的事情,也不是故意选取的。这些博客,是我用谷歌搜索抓的,关键词是“valine 配置”、“valine 教程”。这些人都是技术博主,这种恶搞小玩意儿只会一笑而过。
所以,这就是个无伤大雅的恶作剧,你说的小白,是指你自己吧?实际上小白是非常赚的,什么也没付出,一两分钟,就获得了大量的经验。
评价我文章去我博客底下说啊,躲在自己的网站里B
我是傻子吗?推测你的博客访客都是跟你一样的人。说不定还有同学。
在我的博客里,没人能在评论中打败我。
嗯嗯,靠改评论和删评论打败
回到正题,**********************************,对吧?
你说的对
开始撵我走了?你无语了?
wordpress有N多插件,如果要撵走你,可以直接屏蔽。另外,别看不起wordpress,有海量的插件和主题,开源的社区。
我并无看不起wp之意,话说回来我第一个博客还是wp的呢
吵在一起也不容易,交个友吧
绝了
博主看看******,应该没有同样的问题吧
对不起,和之前说的一样,本站对valine没有任何看法,所以也不会推荐其他东西啊。
博主对于恶作剧感兴趣,对于寻找漏洞不感兴趣啊。这个漏洞也是issue中看到的。
你说的东西,应该有后端吧?已经脱离了静态博客的初衷了。建议改名为:“MoneyLess”。
我草我以为自己咋了,搜索了一晚上相关案例
搜不到吧?这是我独创的文案。以前恶搞的用的,这次刷到一半,才想起来,忘了改了。
还删评论的,玩不起就别搞博客了吧 反正也不敢对外交流
我开垃圾评论检测后,你这种评论都会自动归类到回收站,都不用我动手。
小伙还挺执著,第二天还来看。
呜呜呜 别骂了 别骂了 都是我不对捏
啊
总有人发这种评论,难道在测试是不是实时评论?
大晚上的嗷一下,吓我一跳
为了更好的吓到别人,改成30秒出来了。
楼主,我是傻逼,你除了改评论,你还会干什么,我是婊子养的
知道还发,不长进啊!还是匿名的,我看你就是找茬的。
这个好有意思, 不过火狐浏览器会自动关闭标签, 隐私模式和谷歌浏览器还能访问.
小恐龙很可爱
我刚刚记起来,我以前屏蔽了v2ex和几十个其他网站的流量,现在放行v2ex了。
骂人并不能消除Valine的安全问题
就感觉挺熊孩子的
有意思,如果你博客有个Rss就好了
我吃错药了吗?还是忘吃药了?
都不是,您这是晚期,吃不吃药都一样。
我妈死了操我妈的
就别更新您妈的状态了,我大脑缓存不够。
我妈死了
就别更新您妈的状态了,我大脑缓存不够。
我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了我妈死了
就别更新您妈的状态了,我大脑缓存不够。