不明惡意攻擊致<搜狗搜尋><搜尋結果>跳轉<百度搜尋>技術原理分析

玄魂發表於2017-09-29

作者:玄魂工作室 EE

先宣告一點,本文作者不是搜狗的

然後

只是從技術的角度探討問題

目錄

前提背景

最近我用搜狗的搜尋的時候,就發現搜尋結果會跳轉到百度搜尋,但是沒注意,但是最近這個頻率越來越高了之後,開始關注這個事,本人的這些分析只是拋磚引玉,歡迎更多的大神來加入分析

我們先看一段視訊,這是我差不多一兩個月之前錄的,然後這個因為還原比較難(隨機的因素),畢竟<黑產帝>也不是吃素的,所以我就錄了一段屏,錄了好幾次,只有那麼一次成功復現了的

視訊地址在這裡--->視訊君

然後今天早上吧,我又發現這東西跳轉又出現,所以我用Burp Suite(以下簡稱BS)截了一下吧,很巧的,才點了下一個連結,就跳轉了,千分之一的概率被我撞上了

然後下面我們就來看這個東西的分析

BS流量分析

我們先來看流量的分析

下面我直接貼BS的截圖了,圖片沒有加工過,但是如果有關方面有異議,可以申請技術鑑定,上面那個視訊也是一樣的,如果有異議,可以申請技術鑑定

今早我是打算給我的虛擬機器裝個某壓縮軟體,我就不說是哪個軟體了,然後呢所以如果截圖出現什麼2345的網址和一些軟體下載網址的話大家不要奇怪,這不是廣告(喂喂喂,大家不要走啊)

然後我們先來看第一條可疑的流量

為了圖片的真實性,我就不圈圈和亂畫了

圖片
圖片

這是某壓縮軟體的官網,大家一看就知道,我就不打廣告了

我們開啟這個ggcode.2345.com後會發現會跳轉到百度推廣的官方網站,然後這個這裡請求了一個js的檔案,我們看看這是什麼

2.png
2.png

這應該是一個2345網的推廣用的js程式碼,這個我們先不管,這個程式碼我貼這裡了--->Github

我們來看這個請求的response

3.png
3.png

就是返回了這個網頁上的這個js程式碼,和一個這個

Set-Cookie: BAIDUID=5007864C1D257146A762EA3D69151474:FG=1; expires=Fri, 21-Sep-18 05:08:56 GMT; max-age=31536000; path=/; domain=.baidu.com; version=1複製程式碼

然後繼續看這個請求的下文

4.png
4.png

在請求完http://ggcode.2345.com之後緊接著的就是一個http://cpro.baidustatic.com的請求,這個請求是什麼樣的

5.png
5.png

這裡請求了一個也是js,注意這裡的狀態碼,是302302意味著什麼,意味著我們要跳到其它網址了,我們再看看response

6.png
6.png

發現什麼?百度的網址的js程式碼要求跳轉到一個http://sc.qhdbfjx.com/pil9/cw.js上,我們看看這個網址上的這個程式碼,請注意第二行和第四行的程式碼

7.png
7.png

這裡明顯出現了baidu字樣

這個程式碼我貼到這裡了--->Github

這裡要麼有一種可能,就是我的本地網路被誰劫持了,跳轉到這個網址,但是這個對誰也沒啥好處啊,就從搜狗搜尋跳轉到百度搜尋,除了百度

然後我們繼續看

8.png
8.png

其他那些無關流量是網站產生的,我們不管他,然後看這裡,我們上一個流量不是302了嘛,然後這就是302後的流量

請注意狀態是304,因為剛剛才跳轉過,我一看有了,就開始截包了,所以這裡狀態碼是304,因為這個js檔案,我們本地已經有了,時間沒過期,所以伺服器返回304

9.png
9.png

response也是一樣的,但是我們可以去這裡網址和路徑看一下這個程式碼是什麼,就是上面那個

然後一些無關的流量之後,我們會發現又請求了一個推廣的js

10.png
10.png

這次狀態碼不是302了,而是200

這個請求的js在這裡--->Github

然後執行完這個請求的js之後,我們的瀏覽器就開始跳百度了

11.png
11.png

看到下面那個http://pos.baidu.com沒?開始跳到百度了

這是完整的URL

http://pos.baidu.com/s?hei=22&wid=400&di=u2849903&ltu=http%3A%2F%2Fwww.duote.com%2Fsoft%2F3384.html&cmi=5&tlm=1506171517&ltr=https%3A%2F%2Fwww.sogou.com%2Flink%3Furl%3DDSOYnZeCC_rnZBEq7eVevZxspV_DrxUOW1cto8mAN_y2wKelUak-kA..&cec=GBK&dri=1&dc=2&chi=1&exps=111000&cpl=4&cfv=0&cdo=-1&dai=1&dis=0&par=1536x824&tpr=1506305183853&tcn=1506305184&ps=316x868&drs=1&ari=2&cce=true&cja=false&pis=-1x-1&ti=%E3%80%90%E5%A5%BD%E5%8E%8B%E8%BD%AF%E4%BB%B6%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD%E3%80%912345%E5%A5%BD%E5%8E%8B%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD_2345%E8%BD%AF%E4%BB%B6%E5%A4%A7%E5%85%A8&psr=1536x864&pss=1536x640&ant=0&col=zh-CN&dtm=HTML_POST&pcs=1536x734&ccd=24複製程式碼

看到這串URL裡面的sogou.com沒有???

然後這個的response是這樣的

12.png
12.png

有點長,我把他丟這裡了--->Github

然後,從這裡開始,你就已經從搜狗搜尋,跳到百度搜尋了

我們會發現這麼一個有趣的東西

13.png
13.png

這個請求的Refererhttp://www.duote.com/soft/3384.html

為我們開啟這個網址

14.png
14.png

毫無疑問,百度劫持了搜狗的流量,因為推廣是按訪問流量算錢的,然後你懂的

然後,這還沒完

繼續分析

我們是不是忘了一開始的那個網站了,我們繼續分析看這個網址是http://sc.qhdbfjx.com/sta/pi19/cw.js

我們查一查

15.png
15.png

會發現這個人zhengqing hua的人,這個域名的過期時間是2017/10/24,也就是很快了,現在是2017/9/25,然後我們在反查

16.png
16.png

這裡有165頁的域名,然後註冊公司都是些什麼鬼名字,在安全行業的同學一看就知道這是黑產帝

我們也可以查查這個同學的郵箱

17.png
17.png

18.png
18.png

19.png
19.png

這個是惡意域名無疑了吧?

那分析到這裡我想問一下百度的工作人員,為什麼百度的域名請求的流量,最後會302到這個惡意域名?為什麼惡意域名上會有你們的流量請求?

20.png
20.png

然後這個軟體指向了這個百度域名下的一個js檔案,上面這段程式碼中,很像XSS程式碼中的語句

document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%20src%3D%22http%3A//cpro.baidustatic.com/cpro/ui/cm.js%3Ft%3D0%22%3E%3C/script%3E"))複製程式碼

也是通過各種字元變化逃避檢測

這段程式碼解碼之後是這樣

"<script type="text/javascript" src="http://cpro.baidustatic.com/cpro/ui/cm.js?t=0"></script>"複製程式碼

他向這個cm.js傳了一個引數,t=0,這個能對百度域名下的指令碼傳引數的,很玄妙

然後我們訪問這個域名http://cpro.baidustatic.com/cpro/ui/cm.js就會跳轉到http://sc.qhdbfjx.com/img/cm.js

為什麼百度域名的解析會跳轉指向惡意網址??這點也麻煩百度做出解釋(視訊這裡--->視訊君

本文完

原文首發連結:blog.csdn.net/isinstance/…

微信訂閱號讀者點選閱讀原文,可以跳轉。

0.jpg
0.jpg

歡迎關注玄魂工作室

相關文章