某发卡平台的一次渗透测试

这套发卡还有任意修改管理密码 /admin/ajax.php 注入一大堆 不过新版本好像不行了