黑帽联盟

标题: 中国移动劫持HTTP访问显示广告的分析 [打印本页]

---

作者: yun    时间: 2017-4-5 20:23
标题: 中国移动劫持HTTP访问显示广告的分析

本人半年前已经向江苏移动投诉过了，这个事情很明显是网关方面的问题，电信也干过这事，我很清楚这是什么情况，和哪一个账号、哪一台电脑是没有关系的（我在Windows XP、Windows 7、两台不同电脑上在不同时间都出现过），但是向中国移动反映的时候，对方一直问我是什么账号、哪个小区、什么浏览器之类，完全是一种逃避问题的态度。

具体表现为：打开某个网站（随机发生），会随机地出现“139导航”，刷新之后打开原来要访问的网站。

查看网页源代码如下，使用了一点伎俩来伪装：

基本上每天都会碰到：

最近又来了，不过广告过滤插件比较给力把js给屏蔽了，因此只看得到空白页面：

源代码在此：

刷新一下淘宝就出现了：

使用Firebug查看打开百度时的html

分析一下源代码，其实事情很简单，我把源代码发一下：

就是两个字符串c和d，然后将c接到d的后面，将每个字母的ASCII码减去1变成新的字符串，得到的结果为：

1. <html><head><link rel="stylesheet" type="text/css" ><script type="text/javascript" src="http://211.138.207.229:57628/c.js"></script><script type="text/javascript" src="http://211.138.207.229:57628/7.js"></script><script type="text/javascript">var p="http://211.138.207.229:57628/a/s?adid=200122&tcca=（隐藏）&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0";</script></head><body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no></body></html>

复制代码

这一段HTML看得很清楚吧？和上面Firebug显示出来的HTML一致。来看一下js和css所在的211.138.207.229这个IP：

没有疑问吧？上面的js和css文件都有备份，就是实现显示广告的功能。分析一下中间的一个网址

1. http://211.138.207.229:57628/a/s?adid=200122&tcca=（隐藏）&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0

复制代码

里面有3个重要参数，tcca、orlu、aorlu。猜一下就知道这三个都是经过BASE64加密的，解密即可。之后可以发现tcca是上网账号，所以这里删掉了；orlu是原来要访问的网址，aHR0cDovL3d3dy5iYWlkdS5jb20v解密后即为http://www.baidu.com/；aorlu为广告网址，aHR0cDovL3d3dy5qczEzOS5jbi8=解密后为http://www.js139.cn/。其他几个参数就不管了。

事实非常清楚，中国移动花了点小伎俩来试图伪装，让一般人看不太明白源代码，实际上也没什么水平，稍微花点工夫就能发现问题。主要在于，非常明显这完全是中国移动在搞鬼，我不相信我的路由器、我的电脑会自己搞那么些玩意还把js托管在移动的服务器上、广告网址指向js139.cn？中国移动百般抵赖，实在是无耻之极！

---

欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/)

Powered by Discuz! X2.5