年前的某一天,看到某网站分享了一条线报:领地网 提供 1GB 的免费空间。
还记得我最开始接触建站时,选用的就是领地网的智能建站系统。不过此领地非彼领地,这个新蹦出的领地域名是 lingd.cn ,而老牌的领地是 lingd.com,而且新领地的域名备案是个人备案。
觉得好奇,就注册了这个(新的)领地网。随便填写一些资料注册了一个账号并获得了一个二级域名。第一件事当然是往上面放一个芒果云的程序。这一下,发现了一个大秘密!
把芒果云的地址栏定位到 ftp 这个目录下,居然可以看到网站所有用户的用户目录!
而这个建站系统的用户目录对应的是用户所获得的二级域名。一翻之下,发现 www 这个二级域名没有对应的文件夹,说明这个用户还没被注册。
不过注册时 ftp 用户名(即注册后的二级域名前缀)是系统自动指定的,更改不了。这个好办!用审查元素直接搞定!
于是乎,www 就被我给注册了……
系统默认赠送的二级域名是 (ftp账号).czqin.com ,而我注册了 www 的 ftp 账号,因此它送的二级域名就是 http://www.czqin.com/
白得一免费空间和这么好的域名,这波不亏!既然是白得的也不能空着,就在上面用 wordpress 给搭了个博客。嘿,这家伙,访问速度还不赖,比我这个腾讯云主机的速度还快些……
我在这个“领地网”上建设的博客
不过毕竟是“非法所得”,指不定哪天就和谐了,也就让它就这样吧。
再说回这送的空间,默认过期时间是一个月,也就是每个月得登陆后点击续期,没满一个月时还点不了
查看续费这一页的源代码发现是在前台做的验证,如果到期时间小于一个月,弹出提示并不给续费:
再看续费的这个表单,是向
- ?c=hosting&a=renew&product_id=1&product_type=n&name=www&user=www
这个地址发送一个 post 请求实现续费
我就直接请求这个地址试试……
果然提示续费成功,再看过期时间,确实也已经“续费”了。
一不做二不休,在那个页面刷新了几十次,现在的过期时间已经变成了 2019 年……
再延长时间已毫无意义了,漏洞这么多,说不定这个站本身某天就关闭了……
就此打止吧。
结论
这个“领地网”很不靠谱,玩玩就好,不适合拿来建站。
如果是真正靠谱的免费空间提供商,不会有这么多低级的漏洞存在。
2017-2-10 更新
前几天这个“领地网”一直无法访问,今天登陆发现 www 的那个账号已被删除,空间里的博客程序也已被清空……
本文作者为mengkun,转载请注明。
那个网站的空间已经用不了了
你这是专业该事情呀!
慕名而来,那个网站的空间已经用不了了
噢,原来在刀网评论告诉我们续费漏洞的人是你,还有说注册到了www域名的也是你。 #(滑稽)
@污帝是多寂寞这都被你发现了 [wb_二哈]
你这一大波流量过去,肯定受不了
@小萝博客哈哈,开玩笑了……我这博客的流量少得可怜,日 IP 还不到 30(单位是“个”) [wb_二哈] 哪能还给别人送流量啊 [骷髅]
[抓狂] 现在续费收费了,嗯哼,看看还有木有方法破
@喜欢看你的博客这种“免费空间”本来就是玩玩就好,既然已经收费了,就随它而去吧。免费空间靠谱一点的国内的可以选择 主机屋的,国外的可以选择 hostinger 。如果要是真的用来建设网站,还是直接在阿里云买个空间比较好,价格不贵,用起来也放心些。
现在已经禁止注册了 [NO]
@xsj还好之前注册有小号还可以正常登陆,接着玩……
卧槽 666
@cuzz这个免费空间貌似已经被玩坏了,这两天无法正常访问了 [流汗]
博主太牛了啊,白得一个空间还能续费那么长时间,可以用来玩玩测试程序之类
@懿古今准备在上面测试 WordPress 主题。刚刚好 [偷笑]
还有请求续费的那个...直接放地址栏访问就可以?
@266277直接访问 http://www.lingd.cn/?c=hosting&a=renew&product_id=1&product_type=n&name=【你的FTP用户名】&user=【你的登录用户名】
@mengkun可以很厉害
www.lingd.cn
怎么不是你的…
@路人因为系统送的域名是 (ftp账号).czqin.com 而不是 (ftp账号).lingd.cn
听说过期删了空间还可以用ftp连接
还有之前我也想自定义ftp名,可惜审查元素搞不懂
@路人审查元素很容易弄的,多试几次就明白了。实在不懂可以去补习一下 html 的基础知识
我把他的IP绑定了 172.82.162.123
@枫少你的博客域名很 6 啊 [强] 有个性!
[强]