“头部平台人人贷暴雷,6.5折本金退出零利息”的消息刷爆了整个朋友圈网赚平台php程序,此次人人贷危机又成了多少投资者的无眠之夜。
过去借贷平台鱼龙混杂,各行各业都想涌入其中分得一杯羹。在政策不明朗的情况下确实有人从中挖到了金矿,但随着p2p屡屡暴雷,金融政策开始从严,加上疫情影响、借款难追讨等因素,2020成了p2p最难熬的一年。
p2p既举步难行,为何网上时不时冒出p2p借贷平台?他们利从而来?
最近某网赚平台上挂着一个借贷平台的广告,声称黑白户均可借款,利息低,只要认证就能秒批。一看到此类广告,黑灰经想到的便是过去有人以p2p借贷之名获取用户信息叛卖、收取手续费等,前几年被收割的人可不少。
通过网上查询该借贷平台根本没有金融牌照,网上关于它的信息少之甚少。根据以往的经验基本认定是套路项目,存活时间一般都不长。为了认证,便对其操刀,一探究竟。
一开始遇到这个台子有点棘手,没有思路,对方用的是高防IP。如果通过ping洪流的方式成本过高,也不现实。该网站还部署了监控机制,发现感染源立马被切断。
除了企业在防攻击方面做的相对完善外,之前所遇到黑灰程序大多都是经过多次修改,漏洞明显。不过所幸对方台子用的居然是aps,此时怀疑应该是个人搞的台子。
asp的sql Injection一直被众人所诟病。因此一些企业逐渐使用php替代它,大点的公司直接使用java。有人说它不高效、不安全。黑灰经可不这么认为,任何程序都有它的好处,要看你如何去编写。
零几年,是asp木马黑暗时代,一些黑客编写了不少asp木马,以此售卖牟利。asp木马功能强大没得说,有人借着它入侵一些asp的台子绰绰有余。
针对asp网站入侵至少得用到WinSock Expert、webshell程序和nc等工具。直到今日网上还有些人在卖webshell。可见只要asp不消失,它就存在。
通过分析,最终选择上传asp木ma的方式。尽管不少网站都限制了上传文件的类型,但相比较扫描数据库获取账号密码要少耗时间,因为还要花时间去po解密码,再获取网站的webshell权限。其次是原先有解决过ASP后缀的文件限制的问题,之前的文章中也提过。
在本机开启了WinSock Expert接收数据,获取用户的cookie,使用nc提交,可以直接绕过验证登录到后台。
在操作的过程中出现了一些小问题,由于Request没有获取用户user的值,只能重新调整了一下。结合编写的last.sap脚本将普通用户变成管理员提权操作,此次还用到了IECookiesView修改普通用户cookie的值。
回顾这两年,遇到的asp网站也不少,asp几乎被企业抛弃,不排除一些人为了省点钱,拿以前的程序进行二次开发。
进入该管理后台发现,没有任何的风控体系。除了对前端操作的一些设置功能外,还有一个人脸识别认证功能,提交实名信息50多人,没有一个认证通过。很明显,获取用户的信息才是真实目的。
人脸识别技术逐渐渗入生活中的每一个缝隙,特别是这次疫情使它非常之广。通过人脸识别不仅能将你的脸替换至色情领域,也可以用adversarial attack技术迷惑机器学习模型,渗入到你的生活方方面面。
这并非是黑灰经危言耸听网赚平台php程序,记得之前的ZAO吗?通过ai技术用照片就能实现换脸。当时黑灰经对这个技术很感兴趣,为此还跑去Reddit论坛上联系deepfakes请教。
值得提一下,除了人脸识别,用户提供的身份信息通过技术也能构造人脸模型,应用到黑灰行业,18年就已经有人在测试,更别说现在。
在政策严令下,今年的P2P关闭了一大批,有些人为了牟利,以借贷名义到处获取用户信息,大家要小心。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: lgxmw666
