宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！

前端时间遇了一个钓鱼盗号的网站，这网站就是一个叫你输QQ号的钓鱼页面，懂得人能看出来一眼假。

地址：http://www.ysrshow.top/?id=1

对目标分析一波，发现采用的 thinkPHP 3.2.4通过日志得到后台管理员账号密码：

后台地址：http://www.ysrshow.top/admin.php/login/index.html

然而密码过于复杂，解不出啦

我没有 thinkPHP 3.2.4 的 0day ，难道就这么算了？

对网站结构进行一波手工测试，发现登陆处存在注入漏洞

可以构造语句直接登陆，可惜这是前台处的 sql 注入，并不是后台的，后台并没有这个漏洞，所以还是进不去后台。

总共才 10 条数据，根据日期可以判断出他是只储存当天的数据，隔天就删除，不知道是自动删除还是管理员手动删除的。

我对这些 QQ 号并没有什么兴趣，只是想打包他的源码下来分享一波，然技术不够啊，发出来让你们玩吧，另外在钓鱼页面的账号提交处同样存在 SQL 注入漏洞~ 然并卵

文章作者：Mr.Wu

原文链接：https://mrwu.red/web/3295.html