不要害怕~#电信防骗

三天前防骗数据库网址，我的一个同学被国聊卖了。 当他遇到勒索时，他做的第一件事就是删除应用程序并举报。 钱付了，就没完没了。 诈骗一定会榨干您口袋里的每一分钱。 事情是这样的。 前几天早上，我收到一位同事的消息，说他被骗了。 这让我很好奇，就向他要了下载链接。 我用模拟器打开app后，提示需要获取手机通讯录。 一般第一次打开APP获取通讯录已经是家常便饭，大家也不会太在意。 所以受害人不注意就被抓住了。

我用模拟器打开后直接抓包。 这个app的主要行为是获取通讯录、邮箱等权限。 在抓包过程中，所有的数据都转移到一个ip上。 后来打开这个ip链接，果然跳到后台了。 我输入了用户名和密码，验证了很多次，不能爆po进后台。 我查看了这个ip里面的side sites，这个服务器上有30多个站点。 这些网站基本上都是些狗屎猪，界面很熟悉。 尝试进入admin，成功跳转到后台。 这个系统漏洞很多，可以用弱密码账号和密码登录。

找到上传点。 上传大码访问跨站大码防骗数据库网址，返回上一集进入网站目录。 听到这个目录，我确定database和php文件里面就是这个系统，thinkphp框架，tp数据库文件。 之后，我上传了admin12，开始连接数据库。 不是因为密码弱，没有侧站，不是那么容易进去的。进入后台后，发现有784人注册，1000人的用户得70万到80万。 在后台我们可以详细的看到注册人的通讯录，邮箱地址等。 我清除了诈骗网站数据库的所有内容。