黑帽联盟

标题: 域名服务商的假象劫持 [打印本页]

作者: 定位 时间: 2017-5-26 21:11
标题: 域名服务商的假象劫持
下面的内容可能有点罗嗦，不要嫌烦哈，主要想给你们一个排查的思路，以后遇到同样的问题，自己就可以排查解决哈。耐心的看下去！！！

今天会员在官方群里面提到关于域名跳转到其它域名网址上了，说到这里兴许很多人都会想：肯定被劫持了，有js跳转。没错，我起初的想法也是，但事实上却不是这样的。他的网址最后跳转到ok365页面上了，对于这个页面大家应该不会陌生吧。一个人劫持他的域名到这个网址上，有啥意思？而且页面上显示"您的域名已经到期，请联系您的服务商续费"。如下图：

到这里纳闷了，之前我的一番检查，我确定是排除了劫持了，具体的我就不说了。然后我到站长工具里面去查这个域名（cdcz.net），显示已经过期，过期了肯定这样提示啊，我反问着。他一口否定他的域名到期还早着呢。之后才知道他的域名是其他域名。什么域名就不发出来了。

查了一下，确实没有到期。于是我让他去查一下dns解析和对应的dns有没有问题，他查过，没有问题。我半信半疑，我让他问服务商在看看，下面是他和服务商的聊天内容，服务商认为可能是他自己的路由被劫持可能。但我这边也访问了网址，也出现了跳转，可以排除路由劫持

我自己ping了下域名，域名都没有解析。如下图：

没有解析，也不是提示这个内容吧。后来他告诉我是CNAME解析。这时我想会不会是解析的这个CNAME域名被劫持了。正想看这个CNAME域名的时候，他告诉我会不会是插件的原因导致的。截图如下：（插件上前台显示了这个网址cdcz.net）

这时候我让他尝试把插件给卸载掉，卸载掉之后，后台缓存更新了一下，这才恢复正常，万恶的插件啊，还是收费的插件呢。哈哈，悲哀啊。

于是我让把对应的插件源码发来给我，我本地研究一下。他重新安装了插件，再把源码发给我之前，在他的网站上发现了端倪，原来是这个原因，我也是醉了。

他这个插件其中一部分功能，即显示天气的功能，是利用第三方网站显示的，这个第三方的网站网址是cdcz.net，而这个网址恰恰17年5月24号到期了，插件里面是通过iframe框架调用的远程地址。

调用的网址是

框架调用形式：

总结：因为装了一个插件，这个插件中调用的网址已经过期，导致跳转到那个页面，显示"您的域名已经到期，请联系您的服务商续费"

后面我把这个天气的功能用其他的地址补上，最后源码分享给大家

作者: tywshicainiao 时间: 2017-5-26 22:42
谢谢楼主的分析与共享回复学习下

作者: 左右为难 时间: 2017-5-26 22:49
谢谢楼主的分析与共享...

作者: pangkee 时间: 2017-5-27 00:56
没看到插件呀！在哪在哪

作者: 有一天 时间: 2017-5-27 09:53
看看社么好的东西

作者: 583558386 时间: 2017-5-28 11:20
专业研究技术党大神啊

作者: 权利的游戏 时间: 2017-5-29 16:54
牛牛牛，思路学习了

作者: xuanzang 时间: 2017-6-12 21:11
这种帖子看看很有意思，非常有帮助

作者: xk2125a80 时间: 2017-7-5 15:00
感谢分享，学习了

作者: ahuo 时间: 2017-9-1 14:00
学习学习域名服务商的假象劫持
本文摘自: 黑帽联盟(https://bbs.cnblackhat.com/）详细出处请参考：https://bbs.cnblackhat.com/thread-1933-1-1.html

作者: lolitrick 时间: 2018-3-2 13:50
可以看到吗 123倒萨的

作者: freshcoffees 时间: 2018-5-10 13:43
谢谢大佬的分享；域名劫持是通过js操作完成？

作者: carmen16 时间: 2018-6-4 19:18
好东西，谢谢分享

作者: dhb94 时间: 2019-6-5 11:17
学习学习........

作者: zhang1230 时间: 2019-6-23 04:35
非常好像分享出来

作者: a465021561 时间: 2019-8-24 15:53
过来学习参考

欢迎光临黑帽联盟 (https://bbs.cnblackhat.com/)