有机会直接拿到权限的漏洞

反序列化
sql注入
ssrf
xxe
任意文件下载
任意文件包含
文件上传
弱口令：vpn，邮箱，oa，后台