今天有位朋友问某某项目靠谱吗？叫我帮忙看看这个币靠不靠谱，然后发了个下载链接给我，在家闲来无事就帮他看看了。

直接下载APP安装后注册了个账号

image535×620 16.9 KB

然后掏出神器（Burpsuite)日他, 经验告诉我报错有惊喜

image544×956 104 KB

image973×673 83.9 KB

报错发现是thinkphp5.0.24框架，这个版本是有远程代码执行漏洞的，测试一下看看有没有修复

image1040×679 84.7 KB

经过测试远程代码执行已经修复了，那测试其他漏洞

image912×366 33.4 KB

看到一个公告信息，点进去看看，看到 ?id=1 是不是有熟悉的味道，立马放sqlmap去跑

image822×392 25 KB

跑出数据库为：ttcsql

点到为止！点到为止！点到为止！

经过测试这个项目做的太垃圾，存在很多注入点，还有其他漏洞，建议大家不要去玩这些垃圾项目，都是圈钱的。

原创不容易，恳求大佬帮忙审核通过一下