過去借貸平臺魚龍混雜,各行各業都想湧入其中分得一杯羹。在政策不明朗的情況下確實有人從中挖到了金礦,但隨著p2p屢屢暴雷,金融政策開始從嚴,加上疫情影響、借款難追討等因素,2020成了p2p最難熬的一年。
p2p既舉步難行,為何網上時不時冒出p2p借貸平臺?他們利從而來?
透過網上查詢該借貸平臺根本沒有金融牌照,網上關於它的資訊少之甚少。根據以往的經驗基本認定是套路專案,存活時間一般都不長。為了認證,便對其操刀,一探究竟。
一開始遇到這個臺子有點棘手,沒有思路,對方用的是高防IP。如果透過ping洪流的方式成本過高,也不現實。該網站還部署了監控機制,發現感染源立馬被切斷。
除了企業在防攻擊方面做的相對完善外,之前所遇到黑灰程式大多都是經過多次修改,漏洞明顯。不過所幸對方臺子用的居然是aps,此時懷疑應該是個人搞的臺子。
零幾年,是asp木馬黑暗時代,一些駭客編寫了不少asp木馬,以此售賣牟利。asp木馬功能強大沒得說,有人藉著它入侵一些asp的臺子綽綽有餘。
針對asp網站入侵至少得用到WinSock Expert、webshell程式和nc等工具。直到今日網上還有些人在賣webshell。可見只要asp不消失,它就存在。
透過分析,最終選擇上傳asp木ma的方式。儘管不少網站都限制了上傳檔案的型別,但相比較掃描資料庫獲取賬號密碼要少耗時間,因為還要花時間去po解密碼,再獲取網站的webshell許可權。其次是原先有解決過ASP字尾的檔案限制的問題,之前的文章中也提過。
在本機開啟了WinSock Expert接收資料,獲取使用者的cookie,使用nc提交,可以直接繞過驗證登入到後臺。
在操作的過程中出現了一些小問題,由於Request沒有獲取使用者user的值,只能重新調整了一下<%response.cookies("last")="user"%>。結合編寫的last.sap指令碼將普通使用者變成管理員提權操作,此次還用到了IECookiesView修改普通使用者cookie的值。
回顧這兩年,遇到的asp網站也不少,asp幾乎被企業拋棄,不排除一些人為了省點錢,拿以前的程式進行二次開發。
進入該管理後臺發現,沒有任何的風控體系。除了對前端操作的一些設定功能外,還有一個人臉識別認證功能,提交實名資訊50多人,沒有一個認證透過。很明顯,獲取使用者的資訊才是真實目的。
人臉識別技術逐漸滲入生活中的每一個縫隙,特別是這次疫情使它非常之廣。透過人臉識別不僅能將你的臉替換至色情領域,也可以用adversarial attack技術迷惑機器學習模型,滲入到你的生活方方面面。
值得提一下,除了人臉識別,使用者提供的身份資訊透過技術也能構造人臉模型,應用到黑灰行業,18年就已經有人在測試,更別說現在。
在政策嚴令下,今年的P2P關閉了一大批,有些人為了牟利,以借貸名義到處獲取使用者資訊,大家要小心。