前言：

近日对一个网站做测试时发现其为某建站公司搭建，并发现其后台登陆界面存在存储型xss，随对其网站公示的多个平台进行测试目前以盗取多个cookie信息从而获取网站后台。

漏洞复现：

拿到测试地址后对其进行目录扫面发现其后台地址为:url/admin.php

随手尝试使用admin/admin进行登陆发现登录成功，好的结束。

结束是不可能结束的。让我们回到登陆界面。

插入xss代码点击发现会显示登陆密码或账号错误，当前界面也并没有进行弹窗，之后当我使用admin /admin再次登陆进去点击到后台登陆日志是发现进行了弹窗

于是我们判定此处存在一个xss，

随后我通过xss平台在其登陆处插入代码，使用admin/admin登陆成功获取cookie信息，

本来到这里就基本结束了，但是好奇的我想到之前在测试的时候点开的这里


于是我随便找了几个打了一下xss结果