今天没有加班工作真的很无聊。晚上，我女朋友正在学习投票。这是一个骗局。由于上一次研究投了很多人寻找机票，我也试过几个系统，我觉得他们中的大多数都有漏洞或漏洞（对于bug和bug，代码非常敏感，不要笑）。 仍然回归主题，投票是当地的食物投票。我看到链接可能是TP框架，但我没想到它是TP3.2的框架。已经尝试过熟悉的TP漏洞，没有希望。 框架PHP的ThinkPHP 3.2.3 服务器liunx（不能玩，最痛苦） 二手百度云加速（带拦截，无法找到真正的IP） 服务器配有安全狗（既讨厌也喜欢） 我觉得没有希望。后来，我希望通过域名查看其他内容。 （投票是子域名toupiao.xxxx.com）主域名是类似于OA的垃圾程序。 实际上发现管理员默认帐号密码没有改变，我觉得好像发现了新世界，进入一个页面看到这是一个被操纵的垃圾箱，上传一个没有限制的地方可以直接上传php，也有已经订婚但是，上传后，它是404，马来西亚的马斩波器已经死了。 很长一段时间没有办法翻过工具库找多年免费刀具代码，正确传递阿里巴巴云和安全狗，其余的是慢慢抓取目录，找到数据库连接信息，连接令人遗憾的是看起来不到投票数据库，数据库是空的，似乎这个服务器应该只是一个测试服务器，然后看一下该程序。 在这台服务器上找到的程序可以断定投票系统完全一样，代码说实话有点无聊，密码是md5（密码+字符串）加密，难怪数据库解密md5是总是无法解决的。 已经阅读了整个投票系统，我对详细的审计代码没有任何想法。至少在这个层面上，我找不到任何漏洞。无论如何，理解一般结构。 不经意间发现微信和其他配置都是一样的投票，并且在支付界面中发现mysql的配置，这里的配置与机器不匹配，可以合理地说它应该是生产环境的配置。经过大量的曲折，服务器几乎转过身来。没有什么有价值的。服务器上有很多测试程序，收集了大量信息，或准备尝试解决投票服务器。 投票服务器是百度云加速的cdn，现在不知道IP。 Just-ping nlookup可以尝试所有这些，全部显示百度云加速IP，各种字符注入都被云加速直接拦截，并且拦截也被安全狗拦截。 最后，你必须尝试网站速度测量工具，为什么不谈论它，并了解网站。域名测试很多百度云加速的所有节点，突然发现阿里巴巴云背后的IP。 别看安全性，直接访问ip跳转到网站，确定这是投票系统的服务器IP，直接尝试刚刚爬过的支付页面的mysql配置。 数据库仍然很大。我看到了订单，这是投票礼品的微信支付订单。看完后，香烟吓坏了。已经支付了超过30,000份成功订单（嘿，可悲的是，他们通常被建议不要参加这些骗局） 直接kill管理表，测试时不必考虑直接替换md5密码，幸好在读代码之前是密码+字符串生成md5，否则如何更改无法进入。将密码直接替换为后台，不要问我怎么知道后台，源代码可以看几毛。 在全国范围内一次性投票站点，nnd真的是自动赚钱机器，另外一点都不算，垃圾程序懒得下载，懒得浪费我的128硬盘。 说谎者！讨厌！但做事仍然是理所当然的。我只想探索真相并证明我的猜测是正确的。我很久没有碰过它了，我不熟悉。我最后一次报道投票系统漏洞，很多人都很尴尬。我第一次真的很失望。第二次分享纯粹是无聊的，我希望我的生活会有点幸福。 *作者：野狗 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。