记一次黑站

背景。。。

随便用一个手机号登录，出现报错信息。

使用关键词在Github上搜索，发现一套类似的系统.

准备验证下和Github上的源码是否一致，随便挑了个文件进行访问，继续报错，这次的错误信息中爆出了服务器的环境信息，包含MySQL的账号密码等信息。

成功的远程登录MySQL。

使用Navicat脱裤。

数据库中存储的是用户密码的哈希,直接替换密码哈希后，成功登录到后台。

// 生成一个密码哈希
<?php
    echo password_hash("123456", PASSWORD_DEFAULT);

这是一个卖假货的网站，每个注册用户有一个推广链接，分享到朋友圈或群里，受害者下单后，他们会采用货到付款的方式寄一个假货，受害者收快递的时候付款。