過去借貸平臺魚龍混雜，各行各業都想湧入其中分得一杯羹。在政策不明朗的情況下確實有人從中挖到了金礦，但隨著p2p屢屢暴雷，金融政策開始從嚴，加上疫情影響、借款難追討等因素，2020成了p2p最難熬的一年。

p2p既舉步難行，為何網上時不時冒出p2p借貸平臺?他們利從而來？

透過網上查詢該借貸平臺根本沒有金融牌照，網上關於它的資訊少之甚少。根據以往的經驗基本認定是套路專案，存活時間一般都不長。為了認證，便對其操刀，一探究竟。

一開始遇到這個臺子有點棘手，沒有思路，對方用的是高防IP。如果透過ping洪流的方式成本過高，也不現實。該網站還部署了監控機制，發現感染源立馬被切斷。

除了企業在防攻擊方面做的相對完善外，之前所遇到黑灰程式大多都是經過多次修改，漏洞明顯。不過所幸對方臺子用的居然是aps，此時懷疑應該是個人搞的臺子。

零幾年，是asp木馬黑暗時代，一些駭客編寫了不少asp木馬，以此售賣牟利。asp木馬功能強大沒得說，有人藉著它入侵一些asp的臺子綽綽有餘。

針對asp網站入侵至少得用到WinSock Expert、webshell程式和nc等工具。直到今日網上還有些人在賣webshell。可見只要asp不消失，它就存在。

透過分析，最終選擇上傳asp木ma的方式。儘管不少網站都限制了上傳檔案的型別，但相比較掃描資料庫獲取賬號密碼要少耗時間，因為還要花時間去po解密碼，再獲取網站的webshell許可權。其次是原先有解決過ASP字尾的檔案限制的問題，之前的文章中也提過。

在本機開啟了WinSock Expert接收資料，獲取使用者的cookie，使用nc提交,可以直接繞過驗證登入到後臺。

在操作的過程中出現了一些小問題，由於Request沒有獲取使用者user的值，只能重新調整了一下<%response.cookies("last")="user"%>。結合編寫的last.sap指令碼將普通使用者變成管理員提權操作，此次還用到了IECookiesView修改普通使用者cookie的值。

回顧這兩年，遇到的asp網站也不少，asp幾乎被企業拋棄，不排除一些人為了省點錢，拿以前的程式進行二次開發。

進入該管理後臺發現，沒有任何的風控體系。除了對前端操作的一些設定功能外，還有一個人臉識別認證功能，提交實名資訊50多人，沒有一個認證透過。很明顯，獲取使用者的資訊才是真實目的。

人臉識別技術逐漸滲入生活中的每一個縫隙，特別是這次疫情使它非常之廣。透過人臉識別不僅能將你的臉替換至色情領域，也可以用adversarial attack技術迷惑機器學習模型，滲入到你的生活方方面面。

值得提一下，除了人臉識別，使用者提供的身份資訊透過技術也能構造人臉模型，應用到黑灰行業，18年就已經有人在測試，更別說現在。

在政策嚴令下,今年的P2P關閉了一大批，有些人為了牟利，以借貸名義到處獲取使用者資訊，大家要小心。