前言：本来是想复现漏洞的，但是翻了翻系统，有文件上传的功能点，于是打算文件上传，但是没有绕成功，就在这时，发现还可以上传pdf，于是我就想到了带xss的pdf。

一、制作pdf-xss

我这里使用的是福昕pdf，新建一个空白文档，在左下角的“选项”——“文档属性”

打开之后，在javaScript中添加xss语句：app.alert('xss'); 点击确认

 去自己浏览器中确认，是否能够弹框，我用火狐、谷歌、edge都试了，edge不能弹框，其他俩个可以

二、回到系统中，在帮助管理中上传一个pdf文件，然后抓包，看返回的路径

三、去浏览器访问返回的路径，看是否有xss弹框，可以看到成功弹框