前言

最近在学校的qq群中有好多人转发了一个钓鱼网站的 文档。目测是都中招了。然后自己拿着就看了看，经典的qq邮箱钓鱼。试了下简单的提交注入，发现了有防护。但是提交的连接是2018.php所以这是一套特别老的钓鱼网站了。直接百度了一套源码下载分析。但是参数都引入了360的防护。不过后来发现了验证登录的可以绕过去。

绕过

很明显这个里面cookie的账号密码可控。因为后面又对密码进行验证，所以我们需要指定密码值，账号查询时候很自然的可以构造一个sql查询

' union select 1,1,1,1,1,1#

很自然密码是1

所以对1abchdbb768541进行sha1加密就行了然后设置cookie值完美饶过登录。后面后面就啥也没了呃呃。

不过提醒下，不明的二维码不要乱扫，特别是涉及到输入个人信息的更要慎重。

嘶这每天几乎都有好多人受骗。温馨提示，慎重输入个人信息