这期文章费了我很大的精力，也是偶然看到的想帮一把

看到一位大v在吐槽，好奇心的驱使下我心动了。

怀着一身热血，想要为民除害，启动！！！！

过程

首先我手动打出域名并访问，还能打开，习惯性的抓了个包。

其实我跟很多人一样，习惯性忽略掉了这个联系方式，也导致我绕了很大一圈。这里我第一个想的就是xss，不过测试后发现有宝塔，手机又不太好用，就放弃了。

后来又看提交接口

心血来潮把后面参数删了访问看看

不能为空你都报错…奇葩，得知这是thinkphp开发的。版本未知

后来加了个admin，又是个假后台

好小子，够狠啊！！！！今儿我就不信了，扫了一下端口，也没啥作用

其实到这里我太困了，又是凌晨3点了，都想放弃了

后来又回到最开始的地方，那个联系方式，我们百度得到一个重要的信息

这个程序员已经在违法的道路上越走越远了…注意看苹果信息录入系统，名字取得好听，实则就是钓鱼网站源码。为了准确性我还验证了一下源码里的spider.txt文件

确定了源码，接下来就是审计了，过程太麻烦就不写了

通过自写的wangEditor-3.1.1编辑器，上传漏洞构造getshell，虽然getshell我也不敢干什么，但是目录留个txt警告一下骗子收敛点吧

制作不易，希望各位喜欢的点个关注再走吧！

本来想第二天做的素材，怕网站被关闭没机会做，这才加紧熬夜做了一次