1. 常规测试

站点首页

爆破目录先让他在后面跑着

登录框尝试SQL注入、在找前端的接口，最后结果然并卵。

2. 杀进后台

这时候目录也跑完了看看结果，还真爆装备了。

访问目标地址，该页面列举了站内所有的用户。界面上的所有按钮都按了一遍，全都能用。

直接新增用户，并设置为管理员组。

登陆到后台