一个朋友突然给我说，他下载了一套源码，刚搭建没多久，就被人入侵了（网上VIP随便下载的精品源码），登录网站后，无法显示，我就心想闲着也是闲着，当做练练手，然后要了宝塔登录看看。初步看了下，是那种杀猪源码！登录之前<img src="https://nc0.cdn.zkaq.cn/md/22754/20250521/d7be784d-9caf-4811-9894-362fa97c41

公司：北京某某教育科技有限公司 奇安信搜索：icp.name=&quot;北京某某教育科技有限公司&quot; 补天不收录上传型XSS漏洞，但是感觉有些必要，当做学习思路，也一起发布出来了，同时支付逻辑漏洞，已经通过，记一次高危，比较简单！！268元的永久会员，使用50元，就可以购买成功！ #

鹰图搜索：web.body=”img/XXXXXX.gif”漏洞一首先，我先测试账号密码问题，填写账号1和密码1，会显示用户名不存在，这里又没有验证码之类的效验，所以这里完全可以用字典尝试进行爆破用户名和密码看看我测试出来admin是用户名，然后试了弱密码，还是没有登录成功我看了下提交的接口，是2个参数接着我继续搜索了下接口地址，往下看js代码的时候，发现还有一个接口doAutoLogi