黑帽联盟

标题: 中国移动劫持HTTP访问显示广告的分析 [打印本页]

作者: yun    时间: 2017-4-5 20:23
标题: 中国移动劫持HTTP访问显示广告的分析

本人半年前已经向江苏移动投诉过了,这个事情很明显是网关方面的问题,电信也干过这事,我很清楚这是什么情况,和哪一个账号、哪一台电脑是没有关系的(我在Windows XP、Windows 7、两台不同电脑上在不同时间都出现过),但是向中国移动反映的时候,对方一直问我是什么账号、哪个小区、什么浏览器之类,完全是一种逃避问题的态度。


具体表现为:打开某个网站(随机发生),会随机地出现“139导航”,刷新之后打开原来要访问的网站。


11.jpg


查看网页源代码如下,使用了一点伎俩来伪装:

12.jpg


基本上每天都会碰到:

13.jpg



最近又来了,不过广告过滤插件比较给力把js给屏蔽了,因此只看得到空白页面:

14.jpg


源代码在此:

15.jpg


刷新一下淘宝就出现了:

16.jpg


使用Firebug查看打开百度时的html

17.jpg

分析一下源代码,其实事情很简单,我把源代码发一下:




就是两个字符串c和d,然后将c接到d的后面,将每个字母的ASCII码减去1变成新的字符串,得到的结果为:

  1. <html><head><link rel="stylesheet" type="text/css" ><script type="text/javascript" src="http://211.138.207.229:57628/c.js"></script><script type="text/javascript" src="http://211.138.207.229:57628/7.js"></script><script type="text/javascript">var p="http://211.138.207.229:57628/a/s?adid=200122&tcca=(隐藏)&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0";</script></head><body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no></body></html>
复制代码

这一段HTML看得很清楚吧?和上面Firebug显示出来的HTML一致。来看一下js和css所在的211.138.207.229这个IP:


18.jpg

没有疑问吧?上面的js和css文件都有备份,就是实现显示广告的功能。分析一下中间的一个网址

  1. http://211.138.207.229:57628/a/s?adid=200122&tcca=(隐藏)&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0
复制代码

里面有3个重要参数,tcca、orlu、aorlu。猜一下就知道这三个都是经过BASE64加密的,解密即可。之后可以发现tcca是上网账号,所以这里删掉了;orlu是原来要访问的网址,aHR0cDovL3d3dy5iYWlkdS5jb20v解密后即为http://www.baidu.com/;aorlu为广告网址,aHR0cDovL3d3dy5qczEzOS5jbi8=解密后为http://www.js139.cn/。其他几个参数就不管了。


事实非常清楚,中国移动花了点小伎俩来试图伪装,让一般人看不太明白源代码,实际上也没什么水平,稍微花点工夫就能发现问题。主要在于,非常明显这完全是中国移动在搞鬼,我不相信我的路由器、我的电脑会自己搞那么些玩意还把js托管在移动的服务器上、广告网址指向js139.cn?中国移动百般抵赖,实在是无耻之极!







欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5