过去借贷平台鱼龙殽杂,各行各业都想涌入个中分得一杯羹。在政策不明朗的情形下确实有人从中挖到了金矿,但随着p2p屡屡暴雷,金融政策开始从严,加上疫情影响、借款难追讨等成分,2020成了p2p最难熬的一年。
p2p既举步难行,为何网上时时时冒出p2p借贷平台?他们利从而来?
最近某网赚平台上挂着一个借贷平台的广告,声称黑白户均可借款,利息低,只要认证就能秒批。一看到此类广告,黑灰经想到的便是过去有人以p2p借贷之名获取用户信息叛卖、收取手续费等,前几年被收割的人可不少。
通过网上查询该借贷平台根本没有金融牌照,网上关于它的信息少之甚少。根据以往的履历基本认定是套路项目,存活韶光一样平常都不长。为了认证,便对其操刀,一探究竟。
一开始碰着这个台子有点棘手,没有思路,对方用的是高防IP。如果通过ping年夜水的办法本钱过高,也不现实。该网站还支配了监控机制,创造传染源立马被割断。
除了企业在防攻击方面做的相对完善外,之前所碰着黑灰程序大多都是经由多次修正,漏洞明显。不过所幸对方台子用的居然是aps,此时疑惑该当是个人搞的台子。
asp的sql Injection一贯被众人所诟病。因此一些企业逐渐利用php替代它,大点的公司直策应用java。有人说它不高效、不屈安。黑灰经可不这么认为,任何程序都有它的好处,要看你如何去编写。
零几年,是asp木马阴郁时期,一些黑客编写了不少asp木马,以此售卖牟利。asp木马功能强大没得说,有人借着它入侵一些asp的台子绰绰有余。
针对asp网站入侵至少得用到WinSock Expert、webshell程序和nc等工具。直到今日网上还有些人在卖webshell。可见只要asp不消失落,它就存在。
通过剖析,终极选择上传asp木ma的办法。只管不少网站都限定了上传文件的类型,但比较较扫描数据库获取账号密码要少耗韶光,由于还要花韶光去po解密码,再获取网站的webshell权限。其次是原来有办理过ASP后缀的文件限定的问题,之前的文章中也提过。
在本机开启了WinSock Expert吸收数据,获取用户的cookie,利用nc提交,可以直接绕过验证登录到后台。
在操作的过程中涌现了一些小问题,由于Request没有获取用户user的值,只能重新调度了一下<%response.cookies("last")="user"%>。结合编写的last.sap脚本将普通用户变成管理员提权操作,这次还用到了IECookiesView修正普通用户cookie的值。
回顾这两年,碰着的asp网站也不少,asp险些被企业抛弃,不用除一些人为了省点钱,拿以前的程序进行二次开拓。
进入该管理后台创造,没有任何的风控体系。除了对前端操作的一些设置功能外,还有一个人脸识别认证功能,提交实名信息50多人,没有一个认证通过。很明显,获取用户的信息才是真实目的。
人脸识别技能逐渐渗入生活中的每一个缝隙,特殊是这次疫情使它非常之广。通过人脸识别不仅能将你的脸更换至色情领域,也可以用adversarial attack技能迷惑机器学习模型,渗入到你的生活方方面面。
这并非是黑灰经骇人听闻,记得之前的ZAO吗?通过ai技能用照片就能实现换脸。当时黑灰经对这个技能很感兴趣,为此还跑去Reddit论坛上联系deepfakes请教。
值得提一下,除了人脸识别,用户供应的身份信息通过技能也能布局人脸模型,运用到黑灰行业,18年就已经有人在测试,更别说现在。
在政策严令下,今年的P2P关闭了一大批,有些人为了牟利,以借贷名义到处获取用户信息,大家要小心。
