WooYun.org

通过该漏洞，可盲打其内网审核地址，虽然没找到管理后台，但是审核的地址，还是有的，可通过X到的地址，直接打开，进行对参数的遍历，查询到所有的用户，以及用户表扬信，更严重的是：
居然可以直接修改所有的表扬信，对，就是所有！！
注册号，进行表扬，如图：

或者申诉，

发现执行，被存储，再次打开后，会执行，如图：L

由于用户申诉后，会先通过管理员的通过审核，我们这里在申诉处插入，X取cookies，如图：
可得到管理审核的内网地址，

但是没有X到cookies，不要紧，我们自己构造

•location : http://10.10.1.61:9000/complain/advisory/view.do?adviId=6874

我们根据这个内网审核地址，构造为这样：

http://sswz.chinapost.gov.cn/complain/advisory/view.do?adviId=6874

也就是把地址放在公网域名后，打开，

遍历参数：http://sswz.chinapost.gov.cn/complain/advisory/view.do?adviId=6875
中的adviId，发现了什么，对，就是他人的表扬信，接着，我们继续访问：
http://sswz.chinapost.gov.cn/complain/advisory/
可以看到什么？
全部的表扬信，(申诉人，标题)

只能点击下一页，但是直接点击标题，好像没反应，不要急，我们来看元素：

找到这个参数，6930，，，打开,并且修改，
http://sswz.chinapost.gov.cn/complain/advisory/view.do?adviId=6930
如图：

我们在这后边加入修改后的语句，wooyun,为了方便乌云大大们审核方便，可直接打开以下链接访问，看看是不是已经加入了wooyun.

http://sswz.chinapost.gov.cn/complain/advisory/view.do?adviId=6930

同样，打开后的参数表单中，同样存在存储型XSS，插入后，谁打开，谁就会被会被X