testfire

信息收集 目录扫描 ip获取 手工探测漏洞 发现留言板，xss测试 存在xss漏洞 点击页面发现url的content参数控制了页面内容 猜测存在任意文件读取，测试发现了中间件版本，可以利用进行查找中间件的相关漏洞并进行利用。 search.jsp 存在query参数 测试发现存在xss注入 登录后 ......