Author:Great
2021/4/14
官网地址:http://www.qiye1000.com/
下载源码后安装 http://127.0.0.1/install/index.php
在hook下的wechat.hook.php下

触发函数为wechat_bind,触发参数为echostr。
要执行echo,就需要传参timestamp、nonce、signature并且timestamp、nonce参数在经过array、sort、implode、sha1后与signature
关键在于$wechat_config['wechat_token']

在网站根目录/cache/wechat_config.cache.php这个目录是默认存在的

在这里可以找到写死的wechat_token。
再看看如何触发
在api/wechat_push.php调用了该函数

于是入口地址为api.php传参为mod = wechat_push。
综上所述
payload:api.php?mod=wechat_push&timestamp=1&nonce=1&signature=e8abee4d3e8fe280b4e6453191c0a9e44fb88210&echostr=<script>alert(1)</script>