之前在http://zone.wooyun.org/content/25925就说了一些思路，获取内网中其他主机的CMS信息，在http://zone.wooyun.org/content/25925一文说我提到的思路是使用xss+iframe+canvas，但是@超威蓝猫 说到canvas无法截取到iframe里的内容，后来我上网查后，确实如此（基础不牢的结果）。后来我又有了一个新的思路，使用<img src=”https://xxx.xxx.xxx.xxx/favico.ico” />来获取网站的cms信息，因为不同的cms他们的ico图标也是不一样的，把img发送到服务器端后，就可以识别网站属于哪种cms类型了。但是后来和伟哥 @呆子不开口 讨论了几个小时，发现忽略了一个重要的问题，怎么把img发送到远程服务器，img图片地址不是同源的，而且怎么把图片使用JavaScript转成二进制数据。这个思路又断了。伟哥提到一个很nice的解决方案，检测js脚本，也就是<script src=”http://xxx.xxx.xxx.xxx/path/cms.js” onload=”xxx(this)”></script>这样的话，我就需要大量cms独立的js文件位置。工作量大。我本来都打算使用这个了，但是前几天闲的无聊翻自己的QQ日志时，发现了一段代码：

document.addEventListener("visibilitychange", function() {

  document.title = document.hidden ? '跑个蛋，回来' : '哟呵，真回来了';

});

这是HTML5推出的API，我发现我可以利用这个API来达到神不知鬼不觉的上传图片。首先当用户切换到其他浏览器标签的时候，document.hidden会为true。那么我们就可以确定用户没有访问我们XSS的网页。那么我们干什么用户都不会发现了。大致的思路如下：

document.addEventListener("visibilitychange", function() {

  if(document.hidden){

    var htmlText = $("body").html();

    $("body").empty();

    $("body").append("<img src='http://xxx.xxx.xxx.xxx/favico.ico' />");

    //canvas获取页面，懒得写，请移步：http://leobluewing.iteye.com/blog/2020145

  }else{

    $("body").empty();

    $("body").append(htmlText);

  }

});

大致思路就是这样，其中代码写的比较狗屎，看懂思路就行了。