黑帽联盟

 找回密码
 会员注册
查看: 1515|回复: 0
打印 上一主题 下一主题

[经验] 中国移动劫持HTTP访问显示广告的分析

[复制链接]
yun 黑帽联盟官方人员 

920

主题

37

听众

1364

积分

超级版主

Rank: 8Rank: 8

  • TA的每日心情
    奋斗
    2019-10-18 11:20
  • 签到天数: 678 天

    [LV.9]以坛为家II

    本人半年前已经向江苏移动投诉过了,这个事情很明显是网关方面的问题,电信也干过这事,我很清楚这是什么情况,和哪一个账号、哪一台电脑是没有关系的(我在Windows XP、Windows 7、两台不同电脑上在不同时间都出现过),但是向中国移动反映的时候,对方一直问我是什么账号、哪个小区、什么浏览器之类,完全是一种逃避问题的态度。


    具体表现为:打开某个网站(随机发生),会随机地出现“139导航”,刷新之后打开原来要访问的网站。


    11.jpg


    查看网页源代码如下,使用了一点伎俩来伪装:

    12.jpg


    基本上每天都会碰到:

    13.jpg



    最近又来了,不过广告过滤插件比较给力把js给屏蔽了,因此只看得到空白页面:

    14.jpg


    源代码在此:

    15.jpg


    刷新一下淘宝就出现了:

    16.jpg


    使用Firebug查看打开百度时的html

    17.jpg

    分析一下源代码,其实事情很简单,我把源代码发一下:


    游客,如果您要查看本帖隐藏内容请回复


    就是两个字符串c和d,然后将c接到d的后面,将每个字母的ASCII码减去1变成新的字符串,得到的结果为:

    1. <html><head><link rel="stylesheet" type="text/css" ><script type="text/javascript" src="http://211.138.207.229:57628/c.js"></script><script type="text/javascript" src="http://211.138.207.229:57628/7.js"></script><script type="text/javascript">var p="http://211.138.207.229:57628/a/s?adid=200122&tcca=(隐藏)&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0";</script></head><body id="b" rightMargin=0 topMargin=0 leftMargin=0 scroll=no></body></html>
    复制代码

    这一段HTML看得很清楚吧?和上面Firebug显示出来的HTML一致。来看一下js和css所在的211.138.207.229这个IP:


    18.jpg

    没有疑问吧?上面的js和css文件都有备份,就是实现显示广告的功能。分析一下中间的一个网址

    1. http://211.138.207.229:57628/a/s?adid=200122&tcca=(隐藏)&urip=3083878857&sport=0&eport=0&orlu=aHR0cDovL3d3dy5iYWlkdS5jb20v&spid=3717336707&area=198&ts=1408669315&aorlu=aHR0cDovL3d3dy5qczEzOS5jbi8=&p1arm=0&p2arm=0&p3arm=30&p4arm=5&p5arm=3&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0
    复制代码

    里面有3个重要参数,tcca、orlu、aorlu。猜一下就知道这三个都是经过BASE64加密的,解密即可。之后可以发现tcca是上网账号,所以这里删掉了;orlu是原来要访问的网址,aHR0cDovL3d3dy5iYWlkdS5jb20v解密后即为http://www.baidu.com/;aorlu为广告网址,aHR0cDovL3d3dy5qczEzOS5jbi8=解密后为http://www.js139.cn/。其他几个参数就不管了。


    事实非常清楚,中国移动花了点小伎俩来试图伪装,让一般人看不太明白源代码,实际上也没什么水平,稍微花点工夫就能发现问题。主要在于,非常明显这完全是中国移动在搞鬼,我不相信我的路由器、我的电脑会自己搞那么些玩意还把js托管在移动的服务器上、广告网址指向js139.cn?中国移动百般抵赖,实在是无耻之极!


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部