一个电信劫持案例的简要分析

前言

每到年底,网络劫持就要来一波,不管是运营商还是黑产帝都不放过这一年一度的黄金时段,可以说是年年有今日岁岁有今朝,今天已经是12月,距离过年已经不久了,各种运营商内鬼和黑产帝们显然已经蠢蠢欲动,我之前写过关于运营商流量劫持的利益链关系,而每到年底,又是大家钱包满满开开心心过年的大好时机,花钱娱乐潇洒也是情理之中,运营商里面的一些内鬼自然不能放过这个机会,于是随处可见的流量劫持,铺天盖地的袭来。

如果我记得没错,去年年底移动的流量劫持最为猖狂,先不说宽带上的劫持,各种跳转也就算了,就连手机上的4G都特么的是一大堆弹窗广告,我艹NMB的流量劫持,你特么就那么缺钱?4G你特么也弹?你特么天天弹个JB夺宝,夺个JB的宝,CNM的夺宝,弹了夺宝弹棋牌,实在不行给你跳转个黄站,再来个什么葡京赌场,我赌NMB啊,别特么以为我不知道是你们自己人干的,就那点JB破站点,一眼就看出来其中的利益链,还遮遮掩掩跳来跳去换IP搞什么CDN。

好了,不吐槽移动了,反正吐槽了也没用,每年年底都要来一波的,今天来说说电信的劫持。

分析

之前写过电信跳转情色APP的案例,这次写一写弹窗吧。

是这样的,博主已经很久没有上微博了,大概有个两三年了吧,今天想登录下微博,就打开浏览器输入了weibo.com,稍等一会就打开了,但是似乎有点不对

2017-12-12 23-07-44屏幕截图.png - 大小: 716.9 KB - 尺寸: 1280 x 999 - 点击打开新窗口浏览全图
比如图片上右下角的那个弹窗,怎么看怎么畸形,这图做的也太草率了吧,有点专业水平好吗?而且,这一看就是黄色网站的广告啊,人家微博也不会放这种广告对不对,好歹你也跳一个有点关联的广告啊喂,太不专业了。

观察浏览器地址栏,weibo.com是应该有https证书的,但是这里明显没有带上https,没有进行强制https,所以让运营商有机可乘!

顺手F12看下页面的结构,如图所示

2017-12-12 23-11-49屏幕截图.png - 大小: 207.33 KB - 尺寸: 1280 x 999 - 点击打开新窗口浏览全图
图中显示真正的微博页面被嵌入到了一个iframe里面,弹窗广告也被嵌入到一个iframe里面
2017-12-12 23-55-23屏幕截图.png - 大小: 144.2 KB - 尺寸: 865 x 535 - 点击打开新窗口浏览全图
这样看来其实整个页面就是运营商返回的,这种链路劫持一般来说只能由电信运营商的设备自动化完成,so???

下面来看下这个虚假页面的一些代码,先看js部分,这个段js代码是由运营商的服务器自动生成,用于控制广告,代码如下

var m = "http://weibo.com/";
var a = "http://m.vivi997.com/qiyi/";
var w = window;
var n = navigator;
var d = document;

function ad() {
	var md, adh, adw;
	var ua = n.userAgent.toLowerCase();
	var isipad = ua.match(/ipad/i) == "ipad";
	var isiphone = ua.match(/iphone os/i) == "iphone os";
	var ismidp = ua.match(/midp/i) == "midp";
	var isuc7 = ua.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";
	var isuc = ua.match(/ucweb/i) == "ucweb";
	var isandroid = ua.match(/android/i) == "android";
	var isce = ua.match(/windows ce/i) == "windows ce";
	var iswm = ua.match(/windows\s*mobile/i) == "windows mobile";
	if (isandroid || isiphone || isipad || iswm) {
		var meta = d.createElement("meta");
		meta.name = "viewport";
		meta.content = "width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0,user-scalable=no";
		d.getElementsByTagName("head")[0].appendChild(meta);
		md = d.body.clientWidth;
		adh = Math.ceil(md / 320 * 60);
		adw = "100%"
	} else {
		adh = "250";
		adw = "300"
	}
	var div0 = d.createElement("div");
	div0.id = "i";
	d.getElementsByTagName("body")[0].appendChild(div0);
	var ifr0 = d.createElement("iframe");
	ifr0.id = "m";
	ifr0.width = "100%";
	ifr0.height = "100%";
	ifr0.setAttribute("frameborder", "0");
	ifr0.src = m + (m.indexOf("?") < 0 ? '?' : '&') + "_ad" + Math.random();
	d.getElementById("i").appendChild(ifr0);
	var div1 = d.createElement("div");
	div1.id = "x";
	div1.style.width = adw;
	div1.style.height = adh + "px";
	div1.style.display = "none";
	d.getElementsByTagName("body")[0].appendChild(div1);
	var a0 = d.createElement("a");
	a0.setAttribute("onClick", "clo();");
	a0.innerHTML = "x";
	d.getElementById("x").appendChild(a0);
	var e0 = d.createElement("em");
	e0.id = "e0";
	e0.innerHTML = "广告";
	d.getElementById("x").appendChild(e0);
	var ifr1 = d.createElement("iframe");
	ifr1.id = "a";
	ifr1.width = adw;
	ifr1.height = adh;
	ifr1.setAttribute("frameborder", "0");
	ifr1.setAttribute("marginheight", "0");
	ifr1.setAttribute("marginwidth", "0");
	ifr1.src = a;
	d.getElementById("x").appendChild(ifr1);
	var im = d.getElementById("m");
	if (isiphone || isipad) {
		im.width = d.body.clientWidth;
		im.scrolling = "no"
	}
}
function clo() {
	d.getElementById("x").style.display = "none"
}
setTimeout("clo()", 300000);
setTimeout(function() {
	d.getElementById("x").style.display = "block"
}, 1000);
这段代码写的还是比较6的,不仅仅做了完善的设备类型检查,还可以自适应设备的屏幕,兼容性强了不少,而且设定了30秒后广告弹窗关闭,就是这段简短的代码产生了如此神奇的页面。

这段代码的关键点就在这里 http://m.vivi997.com/qiyi/ ,这就是那个广告iframe所嵌入的url,先看看这个域名的相关信息,信息显示此域名注册人为赵敏,我说这位哥,你的张无忌哥哥现在还好吗?

注册性质为个人注册,备案号 浙ICP备16001403号 是重点,反查这个备案号,发现赵敏同时备案了很多域名,列表如下

序号 	主办单位名称 	主办单位性质 	网站备案/许可证号 	网站名称 	网站首页网址 	审核时间 	是否限制接入 	详细信息
1 	赵敏 	个人 	浙ICP备16001403号-1 	好易网 	www.apkopb7.com	2016-05-12 	否 	详细
2 	赵敏 	个人 	浙ICP备16001403号-10 	品尚网 	www.22ccg.com	2016-05-12 	否 	详细
3 	赵敏 	个人 	浙ICP备16001403号-11 	tm时尚 	www.ma789v.com	2016-05-12 	否 	详细
4 	赵敏 	个人 	浙ICP备16001403号-12 	找大牌 	www.9113529.com	2016-05-12 	否 	详细
5 	赵敏 	个人 	浙ICP备16001403号-13    9966导航 www.schoolf4.com 2016-05-12 	否 	详细
6 	赵敏 	个人 	浙ICP备16001403号-2 	聚惠网 	www.sxdzrmv.com	2016-05-12 	否 	详细
7 	赵敏 	个人 	浙ICP备16001403号-3 	时尚坞 	www.66y77u8.com	2016-05-12 	否 	详细
8 	赵敏 	个人 	浙ICP备16001403号-4 	享趣网 	www.xarm688.com	2016-05-12 	否 	详细
9 	赵敏 	个人 	浙ICP备16001403号-5 	依人网 	www.fqceyqo.com	2016-05-12 	否 	详细
10 	赵敏 	个人 	浙ICP备16001403号-6 	品聚惠 	www.90wwq.com	2016-05-12 	否 	详细
11 	赵敏 	个人 	浙ICP备16001403号-7 	久美网 	www.mapvoo.com	2016-05-12 	否 	详细
12 	赵敏 	个人 	浙ICP备16001403号-8 	任我挑 	www.vivi997.com	2016-05-12 	否 	详细
13 	赵敏 	个人 	浙ICP备16001403号-9 	如意网 	www.hg4fa.com	2016-05-12 	否 	详细
查询whois找到邮箱 3043738376@qq.com,反差邮箱发现赵敏还注册了非常多域名,这是流量劫持常用的套路,经常换域名,域名信息如下
序号	域名	注册者	邮箱	电话	注册商	DNS	注册时间	过期时间
1	22ccg.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
2	3944540.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
3	4832880.com	 zhao min	3043738376@qq.com	57186737106	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
4	66y77u8.com	zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
5	7180443.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
6	7637960.com	ZhaoMin	        3043738376@qq.com	57186737106	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
7	90wwq.com	zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
8	avjgjol.com	 zhao min	3043738376@qq.com	95187	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
9	boyoll.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
10	d7ag8.com	 zhao min	3043738376@qq.com	57186737106	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
11	fi5od9.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
12	fkku194.com	 zhao min	3043738376@qq.com	95187	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
13	fqceyqo.com	zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2016/12/30 0:00:00
14	hnhabc.com	 zhao min	3043738376@qq.com	95187	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
15	mapvoo.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
16	qlg02.com	 zhao min	3043738376@qq.com	95187	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
17	vivi997.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2016/3/29 0:00:00	2018/3/29 0:00:00
18	wotish.com	 zhao min	3043738376@qq.com	95187	 HiChina Zhicheng Technology Ltd	F1G1NS1.DNSPOD.NET, F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00
19	xarm688.com	 zhao min	3043738376@qq.com		HICHINA ZHICHENG TECHNOLOGY LTD.	F1G1NS1.DNSPOD.NET,F1G1NS2.DNSPOD.NET	2015/12/30 0:00:00	2017/12/30 0:00:00

从这些网址上来看,这个赵敏似乎是个做推广的,但是仔细一想,这两年菠菜广告打击力度大,好多流量劫持的都跑去做推广也算正常。这些网址打开全部指向同一个ip地址 218.93.127.125 ,而且默认首页也只是显示hello world,很明显是用了子目录,比如 qiyi 就是其中一个子目录,当然肯定不止做了爱奇艺这一个推广,爱奇艺的推广链接为 http://vip.iqiyi.com/?fv=zz_575fbcda2e772-846430-00wjf6050a0570e90613 ,那么有的同学就要问了,干嘛搞一个黄色广告条结果推广的是正规视频网站?这你就有所不知了,这么做一是为了规避法律风险,至少不会涉黄,其次是因为爱奇艺给出了的佣金也是相当不错,20块钱的会员佣金能给到3块到5块,这么算,流量劫持带来的利润也是相当的可观。

查看图片的src为 http://www.vivi997.com/qiyi/1031.jpg 图片名称似乎是日期,页面访问也就一个很简单的静态页面,没有什么有价值的信息,得想想其他办法。

根据QQ邮箱查询到此人QQ昵称为子非鱼,QQ空间未发表任何信息,应该是小号,位置显示浙江杭州,结合whois信息,浙江杭州天堂软件园应该是没错。

扫描IP地址 218.93.127.125(江苏省常州市 电信) 发现只开放了80和443端口,安全意识还是不错的。

至此没有获取到更多有用的信息...

本文链接:https://www.92ez.com/?action=show&id=23464
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: Python3 报 'gb2312' codec can't decode byte 0x89 in position 42485: illegal multibyte sequence 解决方法
下一篇: Flask 微信卡券小项目从开发到上线

访客评论
#1
回复 gameover 2018-01-04, 11:49 PM
博主我也深受这个劫持所害。投诉都没用 。。我手机电脑每天弹这些出来
http://m.fkku194.com请问你是不是湖北的
https://activity.sifuhe.cn/
http://www.d7ag8.com/  https://whois.ename.net/d7ag8.com  域名所有者信息
http://m.vivi997.com
#2
回复 ls 2018-01-11, 6:38 AM
试试把你找到的内容发到工信部举报页面,貌似电信内鬼就归他们管
发表评论

评论内容 (必填):