一个电信劫持案例的简要分析
前言
每到年底,网络劫持就要来一波,不管是运营商还是黑产帝都不放过这一年一度的黄金时段,可以说是年年有今日岁岁有今朝,马上就过年了,各种运营商内鬼和黑产帝们显然已经蠢蠢欲动,我之前写过关于运营商流量劫持的利益链关系,而每到年底,又是大家钱包满满开开心心过年的大好时机,花钱娱乐潇洒也是情理之中,运营商里面的一些内鬼自然不能放过这个机会,于是随处可见的流量劫持,铺天盖地的袭来。
如果我记得没错,去年年底移动的流量劫持最为猖狂,先不说宽带上的劫持,各种跳转也就算了,就连手机上的4G都特么的是一大堆弹窗广告,我艹NMB的流量劫持,你特么就那么缺钱?4G你特么也弹?你特么天天弹个JB夺宝,夺个JB的宝,CNM的夺宝,弹了夺宝弹棋牌,实在不行给你跳转个黄站,再来个什么葡京赌场,我赌NMB啊,别特么以为我不知道是你们自己人干的,就那点JB破站点,一眼就看出来其中的利益链,还遮遮掩掩跳来跳去换IP搞什么CDN。
好了,不吐槽移动了,反正吐槽了也没用,每年年底都要来一波的,今天来说说电信的劫持。
分析
之前写过电信跳转情色APP的案例,这次写一写弹窗吧。
是这样的,博主已经很久没有上微博了,大概有个两三年了吧,今天想登录下微博,就打开浏览器输入了weibo.com,稍等一会就打开了,但是似乎有点不对
比如图片上右下角的那个弹窗,怎么看怎么畸形,这图做的也太草率了吧,有点专业水平好吗?而且,这一看就是黄色网站的广告啊,人家微博也不会放这种广告对不对,好歹你也跳一个有点关联的广告啊喂,太不专业了。
观察浏览器地址栏,weibo.com是应该有https证书的,但是这里明显没有带上https,没有进行强制https,所以让运营商有机可乘!
顺手F12看下页面的结构,如图所示
图中显示真正的微博页面被嵌入到了一个iframe里面,弹窗广告也被嵌入到一个iframe里面
这样看来其实整个页面就是运营商返回的,这种链路劫持一般来说只能由电信运营商的设备自动化完成,so???
下面来看下这个虚假页面的一些代码,先看js部分,这个段js代码是由运营商的服务器自动生成,用于控制广告,代码如下
var m = "http://weibo.com/";
var a = "http://m.vivi997.com/qiyi/";
var w = window;
var n = navigator;
var d = document;
function ad() {
var md, adh, adw;
var ua = n.userAgent.toLowerCase();
var isipad = ua.match(/ipad/i) == "ipad";
var isiphone = ua.match(/iphone os/i) == "iphone os";
var ismidp = ua.match(/midp/i) == "midp";
var isuc7 = ua.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";
var isuc = ua.match(/ucweb/i) == "ucweb";
var isandroid = ua.match(/android/i) == "android";
var isce = ua.match(/windows ce/i) == "windows ce";
var iswm = ua.match(/windows\s*mobile/i) == "windows mobile";
if (isandroid || isiphone || isipad || iswm) {
var meta = d.createElement("meta");
meta.name = "viewport";
meta.content = "width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0,user-scalable=no";
d.getElementsByTagName("head")[0].appendChild(meta);
md = d.body.clientWidth;
adh = Math.ceil(md / 320 * 60);
adw = "100%"
} else {
adh = "250";
adw = "300"
}
var div0 = d.createElement("div");
div0.id = "i";
d.getElementsByTagName("body")[0].appendChild(div0);
var ifr0 = d.createElement("iframe");
ifr0.id = "m";
ifr0.width = "100%";
ifr0.height = "100%";
ifr0.setAttribute("frameborder", "0");
ifr0.src = m + (m.indexOf("?") < 0 ? '?' : '&') + "_ad" + Math.random();
d.getElementById("i").appendChild(ifr0);
var div1 = d.createElement("div");
div1.id = "x";
div1.style.width = adw;
div1.style.height = adh + "px";
div1.style.display = "none";
d.getElementsByTagName("body")[0].appendChild(div1);
var a0 = d.createElement("a");
a0.setAttribute("onClick", "clo();");
a0.innerHTML = "x";
d.getElementById("x").appendChild(a0);
var e0 = d.createElement("em");
e0.id = "e0";
e0.innerHTML = "广告";
d.getElementById("x").appendChild(e0);
var ifr1 = d.createElement("iframe");
ifr1.id = "a";
ifr1.width = adw;
ifr1.height = adh;
ifr1.setAttribute("frameborder", "0");
ifr1.setAttribute("marginheight", "0");
ifr1.setAttribute("marginwidth", "0");
ifr1.src = a;
d.getElementById("x").appendChild(ifr1);
var im = d.getElementById("m");
if (isiphone || isipad) {
im.width = d.body.clientWidth;
im.scrolling = "no"
}
}
function clo() {
d.getElementById("x").style.display = "none"
}
setTimeout("clo()", 300000);
setTimeout(function() {
d.getElementById("x").style.display = "block"
}, 1000);
这段代码写的还是比较6的,不仅仅做了完善的设备类型检查,还可以自适应设备的屏幕,兼容性强了不少,而且设定了30秒后广告弹窗关闭,就是这段简短的代码产生了如此神奇的页面。
这段代码的关键点就在这里 http://m.vivi997.com/qiyi/ ,这就是那个广告iframe所嵌入的url,先看看这个域名的相关信息,信息显示此域名注册人为赵敏,我说这位哥,你的张无忌哥哥现在还好吗?
注册性质为个人注册,备案号 浙ICP备16001403号 是重点,反查这个备案号,发现赵敏同时备案了很多域名,列表如下
序号 主办单位名称 主办单位性质 网站备案/许可证号 网站名称 网站首页网址 审核时间 是否限制接入 详细信息
1 赵敏 个人 浙ICP备16001403号-1 好易网 www.apkopb7.com 2016-05-12 否 详细
2 赵敏 个人 浙ICP备16001403号-10 品尚网 www.22ccg.com 2016-05-12 否 详细
3 赵敏 个人 浙ICP备16001403号-11 tm时尚 www.ma789v.com 2016-05-12 否 详细
4 赵敏 个人 浙ICP备16001403号-12 找大牌 www.9113529.com 2016-05-12 否 详细
5 赵敏 个人 浙ICP备16001403号-13 9966导航 www.schoolf4.com 2016-05-12 否 详细
6 赵敏 个人 浙ICP备16001403号-2 聚惠网 www.sxdzrmv.com 2016-05-12 否 详细
7 赵敏 个人 浙ICP备16001403号-3 时尚坞 www.66y77u8.com 2016-05-12 否 详细
8 赵敏 个人 浙ICP备16001403号-4 享趣网 www.xarm688.com 2016-05-12 否 详细
9 赵敏 个人 浙ICP备16001403号-5 依人网 www.fqceyqo.com 2016-05-12 否 详细
10 赵敏 个人 浙ICP备16001403号-6 品聚惠 www.90wwq.com 2016-05-12 否 详细
11 赵敏 个人 浙ICP备16001403号-7 久美网 www.mapvoo.com 2016-05-12 否 详细
12 赵敏 个人 浙ICP备16001403号-8 任我挑 www.vivi997.com 2016-05-12 否 详细
13 赵敏 个人 浙ICP备16001403号-9 如意网 www.hg4fa.com 2016-05-12 否 详细查询whois找到邮箱 3043738376@qq.com,反差邮箱发现赵敏还注册了非常多域名,这是流量劫持常用的套路,经常换域名,域名信息如下
序号 域名 注册者 邮箱 电话 注册商 DNS 注册时间 过期时间
1 22ccg.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
2 3944540.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
3 4832880.com zhao min 3043738376@qq.com 57186737106 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
4 66y77u8.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
5 7180443.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
6 7637960.com ZhaoMin 3043738376@qq.com 57186737106 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
7 90wwq.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
8 avjgjol.com zhao min 3043738376@qq.com 95187 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
9 boyoll.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
10 d7ag8.com zhao min 3043738376@qq.com 57186737106 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
11 fi5od9.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
12 fkku194.com zhao min 3043738376@qq.com 95187 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
13 fqceyqo.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2016/12/30 0:00:00
14 hnhabc.com zhao min 3043738376@qq.com 95187 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
15 mapvoo.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
16 qlg02.com zhao min 3043738376@qq.com 95187 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
17 vivi997.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2016/3/29 0:00:00 2018/3/29 0:00:00
18 wotish.com zhao min 3043738376@qq.com 95187 HiChina Zhicheng Technology Ltd F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00
19 xarm688.com zhao min 3043738376@qq.com HICHINA ZHICHENG TECHNOLOGY LTD. F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET 2015/12/30 0:00:00 2017/12/30 0:00:00从这些网址上来看,这个赵敏似乎是个做推广的,但是仔细一想,这两年菠菜广告打击力度大,好多流量劫持的都跑去做推广也算正常。这些网址打开全部指向同一个ip地址 218.93.127.125 ,而且默认首页也只是显示hello world,很明显是用了子目录,比如 qiyi 就是其中一个子目录,当然肯定不止做了爱奇艺这一个推广,爱奇艺的推广链接为 http://vip.iqiyi.com/?fv=zz_575fbcda2e772-846430-00wjf6050a0570e90613 ,那么有的同学就要问了,干嘛搞一个黄色广告条结果推广的是正规视频网站?这你就有所不知了,这么做一是为了规避法律风险,至少不会涉黄,其次是因为爱奇艺给出了的佣金也是相当不错,20块钱的会员佣金能给到3块到5块,这么算,流量劫持带来的利润也是相当的可观。
查看图片的src为 http://www.vivi997.com/qiyi/1031.jpg 图片名称似乎是日期,页面访问也就一个很简单的静态页面,没有什么有价值的信息,得想想其他办法。
根据QQ邮箱查询到此人QQ昵称为子非鱼,QQ空间未发表任何信息,应该是小号,位置显示浙江杭州,结合whois信息,浙江杭州天堂软件园应该是没错。
扫描IP地址 218.93.127.125(江苏省常州市 电信) 发现只开放了80和443端口,安全意识还是不错的。
至此没有获取到更多有用的信息...
牛p qq2225745
从博主这里学到了好多东西,感谢