1.前面的构造流程是一样的 ，先是构造jpg
2.将构造好的jpg发送到任意好友的qq邮箱

 

3.获得对方能看到的图片地址
发送成功后点击“查看此邮件”

 

得到图片地址

 

 

 

 

测试得到的地址在发送方qq邮箱登陆状态下打开是否弹窗，如果弹窗那么就是可用地址
如果提示下载文件那么你的到的地址不对

 

得到能弹窗的地址之后
....点击撤回邮件...
....点击再次编辑...
.....回到编辑框....
之前的那个图不要动他

 

 

-------------------------------------
关键的一步 把刚才复制的图片地址
用超链的形式加到文字上
之前我是直接把链接丢到这个编辑框
我对比了一下不同点
当直接丢连接的时候貌似生成的a标签
是用新窗口打开的，而且是个绝对路径
而通过编辑框加超链接由于是qq域的
绝对路径变成相对路径，且此时如果
点击这个链接是以iframe框架的。
-------------------------------------

 

把再次编辑好的内容发出去.
至此编辑构造过程就完成了

4.下面清空浏览器所有缓存cookie 进入效果查看环节

...打开小号把刚才大号发来的邮件打开 点击超链接

 

..成功弹出alert

 


不知道为何把图片地址加成超链 sid就不起作用了.（难道是相对路径的原因？） sid不起作用的最大意义就是：同个图片地址可以发给任何人.

挖掘灵感来源：qq邮箱上传的图片，转发给任何人都可以看到.借此想到可能图片地址不会变，因此可能没有权限验证。又想到qq邮箱图片预览功能输出的不是图片本身，而是通过程序输出字节来完成的。随着进一步的挖掘发现确实可以利用，由于当时挖掘的时候，就是本着实体攻击去的，所以完全按照钓鱼手法构造邮件.所以整个构造过程没超过一个小时。
没想到再次重现攻击时遇到了这么多障碍。

修复方案：

不让他弹.