一天,嘴里嗦着螺蛳粉(螺蛳粉记得打钱),划着水分析着日志的时候,右下角突然一闪,随即掐指一算,发现事情并不简单,打开一看…
网贷?被骗?这不是常见套路吗?乖乖,姑娘你可别想不开啊,啥都好说
说到这里,嘴里的粉立刻停下来放在一边,开始了对网站的调查
嗯…确实是个网贷平台,其中还有学生贷。(隐约记得学生贷被多次披露并且禁止了)
对站点的注册人、注册公司进行了背景调查,发现公司并不拥有对他人进行放贷的资质。
同时对公司的信息进行了调查,发现极有可能是皮包公司。
但该站点有正规公司注册,同时在ICP(中华人民共和国工业和信息化部)有进行备案,所以我准备向专业机构进行咨询该公司是否有足够的资质,以及是否有权力对他人进行放贷。
在咨询律师朋友后,确定为违法站点,那就好说了,进入网站,整!
乖乖,接近九百万人都向你申请了贷款?平均一个人借一千块都是九十亿了!你确定你这个注册资金只有五十万的公司给得起?就拿你开刀吧!
打开的一瞬间,看到URL里有id=10,瞬间眼前一亮!这不明摆着让我快点进入你的身体注入进去吗!
在URL后加上and 1=a 成功报错,OK 报错注入get
使用order by 8不报错 orderby 9提示报错 OK 确认字段是8,接下来就是构造注入语句了
使用union select 我们可以看到其中第三列和第七列都被显示出来了,OK我们就对这两列下手
成功读取到数据库用户名和当前数据库
到这儿咱们就可以确定站点是存在漏洞,并且可以被注入了。
拿到账号密码后,咱们去后台看看
(这边因为做到一半的时候电脑突然断网了所以用手机截图的)
哈 phpcms的后台啊 那肯定还有其他方式可以渗透进入这个站点,但是咱们做到这一步就差不多了,再往下就犯规了。
接下来的事情交给警察蜀黍解决就好了~~~继续把我没吃完的螺蛳粉嗦了,都坨了
网贷,外文名是Internet lending,p2p网贷是网络贷款的简称,包括个体网络借贷和商业网络借贷。P2P网贷是指个体和个体之间通过互联网平台实现的直接借贷。它是互联网金融(ITFIN)行业中的子类。网贷平台数量在2012年在国内迅速增长,迄今比较活跃的有350家左右,而总量截止到2015年4月底已有3054家。
2019年9月,互联网金融风险专项整治工作领导小组、网贷风险专项整治工作领导小组联合发布《关于加强P2P网贷领域征信体系建设的通知》,支持在营P2P网贷机构接入征信系统。
百度百科
大家不要在网络上随便找网贷进行贷款,这种一般都是坑人的。如果真的有贷款的需求,记得一定要找正规贷款平台或是银行进行贷款!
共同学习,写下你的评论
评论加载中...
作者其他优质文章