信息收集 目录扫描 ip获取 手工探测漏洞 发现留言板,xss测试 存在xss漏洞 点击页面发现url的content参数控制了页面内容 猜测存在任意文件读取,测试发现了中间件版本,可以利用进行查找中间件的相关漏洞并进行利用。 search.jsp 存在query参数 测试发现存在xss注入 登录后台存在若口令admin/admin 本栏目推荐文章testfire
