黑帽联盟
标题:
域名服务商的假象劫持
[打印本页]
作者:
定位
时间:
2017-5-26 21:11
标题:
域名服务商的假象劫持
下面的内容可能有点罗嗦,不要嫌烦哈,主要想给你们一个排查的思路,以后遇到同样的问题,自己就可以排查解决哈。耐心的看下去!!!
今天会员在官方群里面提到关于域名跳转到其它域名网址上了,说到这里兴许很多人都会想:肯定被劫持了,有js跳转。没错,我起初的想法也是,但事实上却不是这样的。他的网址最后跳转到ok365页面上了,对于这个页面大家应该不会陌生吧。一个人劫持他的域名到这个网址上,有啥意思?而且页面上显示"您的域名已经到期,请联系您的服务商续费"。如下图:
2017-5-26 21:06 上传
下载附件
(1.06 MB)
到这里纳闷了,之前我的一番检查,我确定是排除了劫持了,具体的我就不说了。然后我到站长工具里面去查这个域名(cdcz.net),显示已经过期,过期了肯定这样提示啊,我反问着。他一口否定他的域名到期还早着呢。之后才知道他的域名是其他域名。什么域名就不发出来了。
2017-5-26 21:06 上传
下载附件
(55.17 KB)
查了一下,确实没有到期。于是我让他去查一下dns解析和对应的dns有没有问题,他查过,没有问题。我半信半疑,我让他问服务商在看看,下面是他和服务商的聊天内容,服务商认为可能是他自己的路由被劫持可能。但我这边也访问了网址,也出现了跳转,可以排除路由劫持
2017-5-26 21:06 上传
下载附件
(30.62 KB)
我自己ping了下域名,域名都没有解析。如下图:
2017-5-26 21:06 上传
下载附件
(35.82 KB)
没有解析,也不是提示这个内容吧。后来他告诉我是CNAME解析。这时我想会不会是解析的这个CNAME域名被劫持了。正想看这个CNAME域名的时候,他告诉我会不会是插件的原因导致的。截图如下:(插件上前台显示了这个网址cdcz.net)
2017-5-26 21:06 上传
下载附件
(85.74 KB)
2017-5-26 21:06 上传
下载附件
(19.69 KB)
这时候我让他尝试把插件给卸载掉,卸载掉之后,后台缓存更新了一下,这才恢复正常,万恶的插件啊,还是收费的插件呢。哈哈,悲哀啊。
于是我让把对应的插件源码发来给我,我本地研究一下。他重新安装了插件,再把源码发给我之前,在他的网站上发现了端倪,原来是这个原因,我也是醉了。
他这个插件其中一部分功能,即显示天气的功能,是利用第三方网站显示的,这个第三方的网站网址是cdcz.net,而这个网址恰恰17年5月24号到期了,插件里面是通过iframe框架调用的远程地址。
调用的网址是
框架调用形式:
总结:因为装了一个插件,这个插件中调用的网址已经过期,导致跳转到那个页面,显示"您的域名已经到期,请联系您的服务商续费"
后面我把这个天气的功能用其他的地址补上,最后源码分享给大家
作者:
tywshicainiao
时间:
2017-5-26 22:42
谢谢楼主的分析与共享 回复学习下
作者:
左右为难
时间:
2017-5-26 22:49
谢谢楼主的分析与共享...
作者:
pangkee
时间:
2017-5-27 00:56
没看到插件呀!在哪在哪
作者:
有一天
时间:
2017-5-27 09:53
看看社么好的东西
作者:
583558386
时间:
2017-5-28 11:20
专业研究技术党大神啊
作者:
权利的游戏
时间:
2017-5-29 16:54
牛牛牛,思路学习了
作者:
xuanzang
时间:
2017-6-12 21:11
这种帖子看看很有意思,非常有帮助
作者:
xk2125a80
时间:
2017-7-5 15:00
感谢分享,学习了
作者:
ahuo
时间:
2017-9-1 14:00
学习 学习域名服务商的假象劫持
本文摘自: 黑帽联盟(
https://bbs.cnblackhat.com/
) 详细出处请参考:
https://bbs.cnblackhat.com/thread-1933-1-1.html
作者:
lolitrick
时间:
2018-3-2 13:50
可以看到吗 123倒萨的
作者:
freshcoffees
时间:
2018-5-10 13:43
谢谢大佬的分享;域名劫持是通过js操作完成?
作者:
carmen16
时间:
2018-6-4 19:18
好东西,谢谢分享
作者:
dhb94
时间:
2019-6-5 11:17
学习学习........
作者:
zhang1230
时间:
2019-6-23 04:35
非常好像分享出来
作者:
a465021561
时间:
2019-8-24 15:53
过来学习参考
欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/)
Powered by Discuz! X2.5