今天没加班确实无聊,晚上女朋友在研究投票,看了一眼感觉十有八九是骗局。自从上次研究投票后身边一大堆找刷票的,也尝试了几种系统,感觉大部分都有漏洞或是bug(对于写代码的来说bug和漏洞还是区分的很敏感,勿笑)。

还是回到主题,投票是一个地方美食投票,看了链接大概都猜到了是TP框架,只是没想到是TP3.2的框架,熟悉的TP漏洞都试过了,没希望。

框架 PHP的ThinkPHP 3.2.3

服务器 liunx(玩不来 最蛋疼)

用了百度云加速(有拦截 而且还找不到真实IP)

服务器装了安全狗(都讨厌也都喜欢的)

感觉都没什么希望了,后来想通过域名看看其他的,(投票的是子域名 toupiao.xxxx.com)主域名进去是个类似于OA的垃圾程序 。

居然发现admin默认账户密码都没改,感觉发现新大陆了一样,进去挨个页面看发现这是一个已经被操过的垃圾站了,上传有个地方没有做限制可以直接上传php,也被人搞过了,但是上传后打开就是404,大马小马菜刀都是死。

没办法翻了好久的工具库找到了收藏多年的免杀菜刀代码传上去,妥妥的过了阿里云和安全狗,剩下的就是慢慢爬目录,找到了数据库连接信息,连接了可惜找不到投票的数据库,数据库是空的,看来这个服务器应该只是个测试服务器,那就看看程序。

QQ截图20171212031956.png

在这个服务器上找到的程序可以断定和投票系统是一模一样的,代码写的有点烂说实话,密码是 md5(密码+字符串)加密的,难怪看了数据库解密md5总是解不出来。

整个投票系统都看了,也没心思详细审计代码,至少在层面上来说是找不到什么漏洞了,反正大体结构都了解了。

无意中发现微信等了的配置和投票的一样,而且在支付接口发现了mysql的配置,这儿的配置和本机的不符,按理说应该是生产环境的配置。几经周折服务器翻得差不多了,没什么有价值的,服务器上一大堆测试程序,收集了一大堆的信息,还是准备考虑试试解决投票的服务器。

QQ截图20171212032654.png

投票服务器是百度云加速的cdn,现在不知道IP。just-ping nlookup能试的都试了,都显示的百度云加速的IP,各种字符注入都直接被云加速拦截了,没拦截的也被安全狗拦截了。

最后还得试试网站测速这种工具,为什么就不用多讲了,搞网站的都懂。测试了一下域名 一大堆全是百度云加速的各种节点,突然发现了一个 ip后面写着阿里云。

不用看了稳妥妥的,直接访问ip跳转到了网站,确定了这就是投票系统的服务器IP,直接试试刚才爬到的支付页面的mysql配置。

QQ截图20171212040324.png

数据库还是很庞大的,看到订单表,也就是投票送礼物的微信支付订单表,查看了下,差点烟都给我吓掉了。支付成功的订单超过了3万条( 欸,可悲啊,平常劝他们不要去这些骗局都不信)

QQ截图20171212032506.png

直杀admin表,考都不用考虑了直接替换md5密码,还好之前看了代码是密码+字符串生成md5的,不然怎么改都登不进去。替换好密码直接进后台,不要问我怎么知道后台的,源码一看几根毛都能看清。

QQ截图20171212032332.png

一次性生成全国各地的投票网站,nnd真tm全自动赚钱机器啊,其他的也就什么都没干了,垃圾程序都懒得下载了,懒得浪费我的128的硬盘。

骗子啊!可恨啊!但是做事还是得守规矩,我只是想探索真理,证明我的猜测是对的。很久没碰了都生疏了,上次发了解析投票系统漏洞,很多人都在骂,第一次发确实感到失望。第二次分享,纯属无聊,也希望平平淡淡的生活能有一点快乐 。

*本文作者:野狗