分析一个电信劫持跳转下载情色APP的案例

前言

电信运营商劫持家庭宽带的做法相信很多朋友都遇到过,对于来逛我博客的大多数朋友开始应该是非常熟悉电信劫持了。

前几年由于境外菠菜网站和情色网站的兴起催生了国内一波劫持狂潮,电信运营商作为宽带控制者,手握着巨大的流量,而菠菜站给出的丰厚利润更是让一些人利用职务之便牟取暴利,由于利益的驱动,运营商劫持从最开始的劫持非法网站跳转到任意网站篡改代码,添加弹窗小广告,以至于影响到了正常用户的上网使用,才被国家重视,决定彻查。

经过几年的调查,以及国家对于网络安全的越发重视,网民的安全意识提高,揪出了一大批电信运营商里面的“内鬼”,这才让电信运营商的大规模劫持收敛了许多。

但是好景不长,近两年的电信运营商劫持又开始活跃了起来,而监管调查的难度则变得更加困难,鉴于我对行业的了解,我觉得还是有必要先扯扯趋势变化的原因,好让一些没接触过这条产业链的朋友有个大概的了解。

历史

大家都知道,我们上网是由路由器拨号,由电信运营商的pppoe服务器分发一个外网IP地址给路由器,这是我们之前最常见的普通家庭上网模式,那个年代网民并不是太多,电信的PPPOE服务器还是能够满足海量用户的拨号需求。

随着科技的发展,社会的进步,家庭带宽变得越来越大,资费变得越来越便宜,路由设备也变得更加的智能,性能也更强。在这种情况下,电信运营商原来的服务器自然需要更新换代,为了满足区域用户的宽带需求,电信运营商将一个城市划分成很多个片区,每个片区指定一个区域经理,我们办理宽带的时候工单提交上去一般都是分配给区域经理安排安装,对于海量的用户安装需求,不可能把所有的带宽分配都交给运营商总部去处理,那样效率就太低了,办理的时间长,完全不符合我国“马上就办,真抓实干”的良好作风。

所以电信就把带宽的分配权交给了区域经理,由区域经理去协调用户的需求,这样区域经理其实就相当于代理商或者承包商,总部负责记录工单,给区域经理计算绩效发放薪水,具体的实施还是区域经理来做。现在这么看来就很清楚了,区域经理控制着片区的网络。

说到这呢,博主就想插一段额外的知识,也给下文做个铺垫。相信不少朋友了解过“宽带多拨”技术,也有些朋友实际玩过多拨,这个技术不是什么高端技术,原理说起来真的是非常的简单,当然了,有的地区可以有的地区不行,这其中的原因下面会慢慢说。

所谓的多拨,其实就是一个宽带账号同时拨号,达到带宽叠加的效果,这里说的多拨分为单号多拨和多号多拨,不管是哪种多拨方式,最终原理还是因为认证服务器的鉴权方式出现了问题,下面就详细说说到底是什么问题。

举个例子:

我有个宽带账号abc密码是123456,宽带套餐是10M拨号,现在我只要使用多拨同时拨号10次,带宽就加到了100M,那么有同学就会问了,是不是可以无上限的拨,带宽是不是就可以加到几千M?

其实不是的,最高能拨到多少取决于运营商给你拉的这条线端口带宽最大是多大的,如果说这条线的端口给的最高带宽是100M,那么多拨就可以达到100M。那么问题又来了,我明明去营业厅开的是10M宽带,怎么给我的端口是100M的,是区域经理写错了吗?

不是的,之所以会出现这个问题,是因为运营商的基础鉴权服务器是总部统一采购安装部署的,端口的带宽大小取决于设备的性能能达到多少,比如鉴权服务器连到我家里的这个端口是千兆网口(中间可能会有N个交换机,忽略),理论上我上网的最大带宽能达到1000M,所以说最大带宽取决于机器设备,而不是在营业厅登记的那个带宽。

问题又来了,既然带宽不受登记的账号限制,为什么拨号上网的时候测速就是当时登记的网速呢?这个不难回答,你在营业厅登记完,数据就被写入到了数据库,当你进行拨号操作的时候,鉴权服务器读取到你的带宽设置,给设备添加一条限速指令,这样你就能用到登记的网速了,也就是说这种软限制只是对应到宽带账号,硬件层面其实宽带空余还是非常大的,就相当于普通路由器的宽带限速功能。

了解完基本的原理之后咱们来说说两种多拨方式的区别。

单号多拨:

顾名思义就是一个账号同时拨多次,就跟网站的登录一个道理,有的网站允许一个账号可以在多个终端同时登录,有的网站就不行,最典型的就是QQ的单点登录,只能在同一个地方登陆。这里之所以回出现这个问题就是没有限制单点登录,鉴权服务器允许同一个账号在多个端口上同时登录,虽然账号一样,但是登录完的会话(session)ID,却是不一样的,所以鉴权服务器就认为是两个用户,自然就放行了,而且带宽都是读取数据库的配置,这样就成功的叠加了带宽。

多号多拨:

多号多拨的原理跟单号多拨的原理差不多,区别在于鉴权服务器的限制上,假如鉴权服务器使用了单点登录即同一个账号只允许在一个地方登录,那么就可以尝试使用多号多拨的方式,多号多拨的方式比较难防止,也是目前为止很多地区依然存在的问题,原因是因为要让端口资源利用最大化,鉴权服务器允许多个用户在同一个端口上登录,假如这个端口是1000M的,如果只给一个用户用就太浪费了,所以通常一个端口会划分给多个用户使用,也就产生了多号多拨的问题。

那么有没有办法解决多拨的问题呢?

肯定是有的,单号多拨的比较简单,限制下单点登录即可,多号多拨的可能就需要在鉴权服务器的下游使用交换机或者路由器进行分用户控制,当然这样做的成本也会高很多,毕竟需要部署非常多的下级路由实现精确控制。

还有种方式就是划分vlan的方法,这也是目前最好用的方法。

说了这么多下面就来说一说当前的运营商劫持与以前的运营商劫持的差别。

分析

上面说了以前的拨号方式以及原理,算是一个进化的过程,从中心统一管理到分区域管理,是一种高效的方式,最开始做劫持的那波“内鬼”,是在集中管控的时代,所以跳转劫持往往会影响非常大的一片区域,轻则一个城市受影响,重则整个省份都会被劫持,所以风险很大,但是利润丰厚,毕竟手握海量的用户流量。

之后运营商划分片区管理以后,就没有出现大规模的劫持了,运营商内部查的严,国家明令禁止这种操作,所以就催生了一波电信运营商区域性劫持的新业务。区域经理的权力不大,但是用户精准,针对性非常的强,比如做整容的医院,他们想做一波广告就可以找区域内对他们比较熟的人群,这样的效果就非常好。

据我了解的行情,去年有的区域经理做区域劫持一天进账百万,一般接近年底,各种棋牌赌博类app是爆发期,所以到了年底就随处可见劫持,不止是宽带,连手机用户的4G网络都不放过。

去年国家新出政策,要求电信运营商加强管理,尽快建设区域性的局域网,一方面是因为IPv4的资源紧张,二是可以加强舆情的监控,紧急时候可进行区域性断网操作,但不会造成太大面积的网络瘫痪。

这样做的好处是很多的,但是缺点也是非常的明显,比如博主我曾经使用的铁通宽带,拨号上网获取的到IP地址是100开头的内网IP,虽然上网没什么影响,但是内网居然没有做IP隔离,使用ARP轻松嗅探内网,还可以扫描内网的各种机器,甚至直接扫描到局域网的广告系统,真是打脸打的响。

今年年初,重新办理了百兆的电信光纤宽带,拨号获取到的IP也是100开头的内网IP,看来执行的速度很快,但是进行了IP隔离,一些危险端口也封了,这一点电信比铁通做的强百倍啊。

最开始我说过现在的情况比以前更加复杂,劫持很难查出来的原因是因为分配了太多的片区管理员,这样的话,管理起来无疑会更加的繁琐,而那些片区管理员劫持的时间点更加容易控制,对机器的控制也更直接,甚至不需要进行申请就可以直接操作机器,就算劫持了又有谁能查得出来?

----------------------------------说正事专用分割线--------------------------------------

前面废话了一大堆,无非是想说明电信运营商劫持的根除非常困难,也说明了网速不断提升的同时带来的种种隐藏问题。现在就说说昨天遇到的一个典型的运营商劫持案例。

首先说下我现在的网络环境,以便于区别是不是真正的运营商劫持。

我这里使用的是20M电信光纤宽带,光猫已破解管理员,关闭了远程控制端口,DNS由运营商分配无法修改,确定DNS是电信的,下面说明我遇到的情况。

撸代码到深夜的博主有些犯困了,关掉电脑准备洗洗睡觉,想到最近要买冰箱微波炉之类的,就打开手机想百度下冰箱怎么选,输入www.baidu.com后没有跳转到百度,而是跳转到了一个看起来不得了的网站,网址是 http://im.adwva.cn/yfdc/000.htm?id=8060415&rid=12261.523505021916 画风是这样的

火狐截图_2017-09-03t10-22-42.871z.png - 大小: 335.46 KB - 尺寸: 360 x 1305 - 点击打开新窗口浏览全图
其实对于我来说这种网站一看就是骗下载骗安装骗钱的,根本就不会在意,但是问题来了,我访问的是百度,跳出这个网站就不对了,看了看手机,使用的是wifi。嗯,基本上确定是电信的劫持,也就电信喜欢这么大晚上的弹这些让人血脉喷张的图出来,还让不让人好好睡(lu)觉(guan)了。

我心想既然我对这些图片并不感兴趣,还是返回去看百度吧,然而返回去却跳转到了另外一个页面,画风一下子变得高级了起来

火狐截图_2017-09-03t10-24-20.176z.png - 大小: 626.23 KB - 尺寸: 360 x 1635 - 点击打开新窗口浏览全图
乍一看还有点正规,但是“勤工助学”大学生,是个什么鬼?名字直接写的约炮神器2.0,还2.0版本,简直厉害了。往下看了下图片都是精选的一些非常诱人的胸部写(luo)真(lou)特写照片,看上去都有很想点的冲动。

博主我作为一个开车多年的资深老司机一眼就识破了这种小伎俩,无非是点击任何位置都会跳出来下载,或者是充值的按钮。

电脑上访问网址发现另外一个地址 http://im.adwva.cn/yfdc/002.htm?id=8060415&rid=11323.496462565896 ,有点不太一样,不过套路还是一样的

火狐截图_2017-09-03t10-27-16.062z.png - 大小: 196.89 KB - 尺寸: 360 x 1121 - 点击打开新窗口浏览全图
点击下载app跳转到域名 http://8jlb.com 这里(101.37.175.104),一看又是一个情色app
火狐截图_2017-09-03t10-28-25.252z.png - 大小: 273.03 KB - 尺寸: 360 x 640 - 点击打开新窗口浏览全图
稍微的改变下链接,直接报错了
微信截图_20170903183028.png - 大小: 63.77 KB - 尺寸:  x  - 点击打开新窗口浏览全图
网站使用的thinkphp,这报错报的太随意了,路径上写的 hujing_bazhong_bz ,我猜是四川巴中的叫hujing的人,依据后面会说。

根据thinkphp的特性,后面加上admin.php就直接访问到后台管理的登录页面

火狐截图_2017-09-03t10-31-59.279z.png - 大小: 1.4 MB - 尺寸:  x  - 点击打开新窗口浏览全图
,尝试admin登录的时候发现admin账号是存在的
火狐截图_2017-09-03t10-33-55.772z.png - 大小: 29.35 KB - 尺寸:  x  - 点击打开新窗口浏览全图
火狐截图_2017-09-03t10-34-12.340z.png - 大小: 27.59 KB - 尺寸:  x  - 点击打开新窗口浏览全图
所以猜密码就可以了,时间问题这里就暂时不爆破了,留着后面处理。

回到前面,顺利下载到app(地址:http://sfriend.oss-cn-hangzhou.aliyuncs.com/8j0817/gx2/milove_a415.apk),稍微做一下反编译发现apk使用了360的加固功能,无法正常反编译

微信截图_20170903184736.png - 大小: 104.72 KB - 尺寸:  x  - 点击打开新窗口浏览全图

既然apk无法反编译,那么我应该尽量多的收集信息,目前为止所能拿到的域名有下面几个:

8jlb.com

adwva.cn

sfriend.oss-cn-hangzhou.aliyuncs.com

第三个是阿里云的oss存储,就不去查了,查下前两个

8jlb.com 显示的备案信息为个人备案,备案时间为2014年,但是域名注册信息显示此域名为2017年3月6号注册,说明这个域名是买的别人备案好的,备案很有可能已经过期只是没有及时撤销而已。使用whois反查发现注册人是乱写的,并没有实质性的信息

火狐截图_2017-09-03t10-52-06.477z.png - 大小: 26.15 KB - 尺寸: 884 x 474 - 点击打开新窗口浏览全图

adwva.cn 显示注册人为“魏竞”

火狐截图_2017-09-03t10-58-04.654z.png - 大小: 19.71 KB - 尺寸: 742 x 465 - 点击打开新窗口浏览全图
这里应证了上面路径的hujing很有可能就是这个“魏竞”,注册邮箱是 wjfallin@163.com,根据邮箱反查发现注册了三个域名
火狐截图_2017-09-03t11-00-11.343z.png - 大小: 24.76 KB - 尺寸:  x  - 点击打开新窗口浏览全图
分别是 527kan.com 、adwva.cn、yuanlaiyueai.com,来看这三个域名都有哪些信息。

527kan.com 显示备案信息已经取消,但是暴露了手机号码是 13890246114

火狐截图_2017-09-03t11-04-49.276z.png - 大小: 21.61 KB - 尺寸: 735 x 506 - 点击打开新窗口浏览全图
查询手机归属地是四川德阳
火狐截图_2017-09-03t11-06-00.692z.png - 大小: 11.32 KB - 尺寸: 589 x 224 - 点击打开新窗口浏览全图
,这也应证了上面的bazhong拼音应该是“巴中”。百度收录记录来看之前也是用来做情色app
火狐截图_2017-09-03t11-13-02.329z.png - 大小: 41.45 KB - 尺寸: 779 x 619 - 点击打开新窗口浏览全图

adwva.cn 显示备案信息为“成都凡之恋商贸有限公司”,备案审核时间为 2017-08-14 应该是最近才备案,同时发现该企业下面备案了非常多相似的域名,推测该企业用这些域名推广,用于被封之后的替换

火狐截图_2017-09-03t11-08-33.658z.png - 大小: 23.35 KB - 尺寸:  x  - 点击打开新窗口浏览全图

yuanlaiyueai.com 显示未备案。

访问 yuanlaiyueai.com 显示的是情色app的宣传页面,三个域名解析的IP都是阿里云服务器。

mfc.527kan.com (120.26.67.206)

im.adwva.cn (121.40.53.51)

yuanlaiyueai.com (121.40.210.204)

收集到这里我觉得没什么意思了,毕竟我不喜欢那种动不动就“getshell”的操作。

总结

单纯的分享,没有深入探索

如果您觉得文章有帮助到您,请到 https://www.92ez.com/index.php?action=show&id=23403 进行打赏/捐赠,谢谢!
如果您觉得文章有帮助到您,请 使劲戳这里 进行打赏/捐赠,谢谢!
本文链接:https://www.92ez.com/?action=show&id=23453
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 阿里云CentOS 7配置sftp并禁止登录ssh
下一篇: PyQt5 几个关键模块的用途【备忘】

访客评论
#1
回复 Fredom 2017-09-12, 9:24 PM
已getshell 哈哈
发表评论

评论内容 (必填):