某传销APP存在sql注入【通过】

今天有位朋友问某某项目靠谱吗?叫我帮忙看看这个币靠不靠谱,然后发了个下载链接给我,在家闲来无事就帮他看看了。

直接下载APP安装后注册了个账号

image

然后掏出神器(Burpsuite)日他, 经验告诉我报错有惊喜

报错发现是thinkphp5.0.24框架,这个版本是有远程代码执行漏洞的,测试一下看看有没有修复

经过测试远程代码执行已经修复了,那测试其他漏洞

image

看到一个公告信息,点进去看看,看到 ?id=1 是不是有熟悉的味道,立马放sqlmap去跑

跑出数据库为:ttcsql

点到为止!点到为止!点到为止!

经过测试这个项目做的太垃圾,存在很多注入点,还有其他漏洞,建议大家不要去玩这些垃圾项目,都是圈钱的。

原创不容易,恳求大佬帮忙审核通过一下

  • 通过
  • 未通过

0 投票者

这些还有人信啊,后台看看基本都是假数据

这个app他合法吗

5.0.24没有RCE了吧

1 Like

这里得纠正了一下!5.0.24是没有rce的!

1 Like

这打码6666

1 Like

没有邀请码你也注册不了 cookie登陆不上

邀请码已找到 漏洞已复现 谢谢大佬

邀请码怎么找到的?

不放过任何一个细节呀。 遇到注入真的是很幸运

J牛不愧是J牛。5.0.24没有rce..

这打码我喜欢

5.0.24只有反序列化漏洞,没有rce,反序列化也只能针对linux

该说不说,的确是要鼓励新人。。。但是这质量真是有点低了。个人看法

同意,是不是意味着随便找个sql注入写点文就能进90sec了?这种帖子以后会越来越多的。等着看吧

这篇文章是有点水的 但是是投票投出来的 这样的还是少数的
以后随着人员上去了,肯定会修改能够投票人员的用户组 不用担心质量问题