利用网站漏洞绕过千图网VIP限制免费下载设计模板模块素材

先使用账号登录千图网，然后找到设计模板板块：http://588ku.com/moban/ 只限于“设计模板”模块，找到你要下载的素材，点击进入素材详情页面（http://588ku.com/moban/4645601.html）。

先按F12打开开发工具后点击下载模板，弹出VIP提醒，不管他！找到如下图的地址：

“http://588ku.com/index.php?m=Download&a=downloadPSD&id=4645601&picType=11&v=3”后将其复制在新的标签窗口打开，
将此连接“http://588ku.com/index.php?m=Download&a=downloadPSD&id=4645601&picType=11&v=3”的后面：“v=3”改为“v=1”然后重新访问这个页面，这是我们看到如下界面：

将下面这个标记连接复制出来修改

把“\”去掉就可以得到正确的文件链接地址。
此方法并不是永久有效，得看管理员什么时候修复了，没修复之前，可以一直使用。
漏洞分析：
1.程序对是否是VIP会员做的判断是取的 URL参数 v的值， 当V=1时判断是会员。
2.他这个是先调用的数据库，获取到了V参数值，但是却允许前端对V参数的二次赋值。
3.程序把这个值直观的显示到了前台用户可控的 "URL地址中"，并且判断是否是VIP也是从"URL地址的V参数中取值"，最终导致了这个漏洞的出现。