今天有位朋友问某某项目靠谱吗?叫我帮忙看看这个币靠不靠谱,然后发了个下载链接给我,在家闲来无事就帮他看看了。
直接下载APP安装后注册了个账号
然后掏出神器(Burpsuite)日他, 经验告诉我报错有惊喜
报错发现是thinkphp5.0.24框架,这个版本是有远程代码执行漏洞的,测试一下看看有没有修复
经过测试远程代码执行已经修复了,那测试其他漏洞
看到一个公告信息,点进去看看,看到 ?id=1 是不是有熟悉的味道,立马放sqlmap去跑
跑出数据库为:ttcsql
点到为止!点到为止!点到为止!
经过测试这个项目做的太垃圾,存在很多注入点,还有其他漏洞,建议大家不要去玩这些垃圾项目,都是圈钱的。
原创不容易,恳求大佬帮忙审核通过一下
0 投票者
这些还有人信啊,后台看看基本都是假数据
这个app他合法吗
5.0.24没有RCE了吧
这里得纠正了一下!5.0.24是没有rce的!
这打码6666
没有邀请码你也注册不了 cookie登陆不上
邀请码已找到 漏洞已复现 谢谢大佬
邀请码怎么找到的?
不放过任何一个细节呀。 遇到注入真的是很幸运
J牛不愧是J牛。5.0.24没有rce..
这打码我喜欢
5.0.24只有反序列化漏洞,没有rce,反序列化也只能针对linux
该说不说,的确是要鼓励新人。。。但是这质量真是有点低了。个人看法
同意,是不是意味着随便找个sql注入写点文就能进90sec了?这种帖子以后会越来越多的。等着看吧
这篇文章是有点水的 但是是投票投出来的 这样的还是少数的
以后随着人员上去了,肯定会修改能够投票人员的用户组 不用担心质量问题
