## 0x00 一次补天公益漏洞挖掘 ## 0x01 xss 可以看到这个编辑器是可以插入超链接，也就是说链接会被拼接到href处，构造payload`"onclick=alert(/xss/)//` ![](https://nc0.cdn.zkaq.cn/md/1922/6bfe17666f96e8d326c1d75f98

0x00​ 在用Cobalt Strike的时候发现我有原版还有汉化版，于是乎我就都想用，但是用脚本不但不美观还麻烦，所以我用apple script写了一个脚本然后用automator(自动操作)封装了一个app。0x01先写出apple script部分，如下set titleStr to "选择Cobalt Strike启动版本" -- 对话框标题