不明惡意攻擊致<搜狗搜索><搜索結果>跳轉<百度搜索>技術原理分析

---

做者：玄魂工做室 EE

---

先聲明一點，本文做者不是搜狗的

而後

只是從技術的角度探討問題

---

目錄

• 不明惡意攻擊致<搜狗搜索><搜索結果>跳轉<百度搜索>技術原理分析
• 目錄

  * [**前提背景**](#前提背景)
    * [**BS流量分析**](#bs流量分析)
        * [**繼續分析**](#繼續分析)複製代碼

---

前提背景

最近我用搜狗的搜索的時候，就發現搜索結果會跳轉到百度搜索，可是沒注意，可是最近這個頻率愈來愈高了以後，開始關注這個事，本人的這些分析只是拋磚引玉，歡迎更多的大神來加入分析

咱們先看一段視頻，這是我差很少一兩個月以前錄的，而後這個由於還原比較難（隨機的因素），畢竟<黑產帝>也不是吃素的，因此我就錄了一段屏，錄了好幾回，只有那麼一次成功復現了的

視頻地址在這裏--->視頻君

而後今天早上吧，我又發現這東西跳轉又出現，因此我用Burp Suite(如下簡稱BS)截了一下吧，很巧的，才點了下一個連接，就跳轉了，千分之一的機率被我撞上了

而後下面咱們就來看這個東西的分析

BS流量分析

咱們先來看流量的分析

下面我直接貼BS的截圖了，圖片沒有加工過，可是若是有關方面有異議，能夠申請技術鑑定，上面那個視頻也是同樣的，若是有異議，能夠申請技術鑑定

今早我是打算給個人虛擬機裝個某壓縮軟件，我就不說是哪一個軟件了，而後呢因此若是截圖出現什麼2345的網址和一些軟件下載網址的話你們不要奇怪，這不是廣告（喂喂喂，你們不要走啊）

而後咱們先來看第一條可疑的流量

爲了圖片的真實性，我就不圈圈和亂畫了

圖片

這是某壓縮軟件的官網，你們一看就知道，我就不打廣告了

咱們打開這個ggcode.2345.com後會發現會跳轉到百度推廣的官方網站，而後這個這裏請求了一個js的文件，咱們看看這是什麼

2.png

這應該是一個2345網的推廣用的js代碼，這個咱們先無論，這個代碼我貼這裏了--->Github

咱們來看這個請求的response

3.png

就是返回了這個網頁上的這個js代碼，和一個這個

Set-Cookie: BAIDUID=5007864C1D257146A762EA3D69151474:FG=1; expires=Fri, 21-Sep-18 05:08:56 GMT; max-age=31536000; path=/; domain=.baidu.com; version=1複製代碼

而後繼續看這個請求的下文

4.png

在請求完http://ggcode.2345.com以後緊接着的就是一個http://cpro.baidustatic.com的請求，這個請求是什麼樣的

5.png

這裏請求了一個也是js，注意這裏的狀態碼，是302，302意味着什麼，意味着咱們要跳到其它網址了，咱們再看看response

6.png

發現什麼？百度的網址的js代碼要求跳轉到一個http://sc.qhdbfjx.com/pil9/cw.js上，咱們看看這個網址上的這個代碼，請注意第二行和第四行的代碼

7.png

這裏明顯出現了baidu字樣

這個代碼我貼到這裏了--->Github

這裏要麼有一種可能，就是個人本地網絡被誰劫持了，跳轉到這個網址，可是這個對誰也沒啥好處啊，就從搜狗搜索跳轉到百度搜索，除了百度

而後咱們繼續看

8.png

其餘那些無關流量是網站產生的，咱們無論他，而後看這裏，咱們上一個流量不是302了嘛，而後這就是302後的流量

請注意狀態是304，由於剛剛纔跳轉過，我一看有了，就開始截包了，因此這裏狀態碼是304，由於這個js文件，咱們本地已經有了，時間沒過時，因此服務器返回304

9.png

response也是同樣的，可是咱們能夠去這裏網址和路徑看一下這個代碼是什麼，就是上面那個

而後一些無關的流量以後，咱們會發現又請求了一個推廣的js

10.png

此次狀態碼不是302了，而是200

這個請求的js在這裏--->Github

而後執行完這個請求的js以後，咱們的瀏覽器就開始跳百度了

11.png

看到下面那個http://pos.baidu.com沒？開始跳到百度了

這是完整的URL

http://pos.baidu.com/s?hei=22&wid=400&di=u2849903&ltu=http%3A%2F%2Fwww.duote.com%2Fsoft%2F3384.html&cmi=5&tlm=1506171517&ltr=https%3A%2F%2Fwww.sogou.com%2Flink%3Furl%3DDSOYnZeCC_rnZBEq7eVevZxspV_DrxUOW1cto8mAN_y2wKelUak-kA..&cec=GBK&dri=1&dc=2&chi=1&exps=111000&cpl=4&cfv=0&cdo=-1&dai=1&dis=0&par=1536x824&tpr=1506305183853&tcn=1506305184&ps=316x868&drs=1&ari=2&cce=true&cja=false&pis=-1x-1&ti=%E3%80%90%E5%A5%BD%E5%8E%8B%E8%BD%AF%E4%BB%B6%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD%E3%80%912345%E5%A5%BD%E5%8E%8B%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD_2345%E8%BD%AF%E4%BB%B6%E5%A4%A7%E5%85%A8&psr=1536x864&pss=1536x640&ant=0&col=zh-CN&dtm=HTML_POST&pcs=1536x734&ccd=24複製代碼

看到這串URL裏面的sogou.com沒有？？？

而後這個的response是這樣的

12.png

有點長，我把他丟這裏了--->Github

而後，從這裏開始，你就已經從搜狗搜索，跳到百度搜索了

咱們會發現這麼一個有趣的東西

13.png

這個請求的Referer是http://www.duote.com/soft/3384.html

爲咱們打開這個網址

14.png

毫無疑問，百度劫持了搜狗的流量，由於推廣是按訪問流量算錢的，而後你懂的

而後，這還沒完

繼續分析

咱們是否是忘了一開始的那個網站了，咱們繼續分析看這個網址是http://sc.qhdbfjx.com/sta/pi19/cw.js

咱們查一查

15.png

會發現這我的zhengqing hua的人，這個域名的過時時間是2017/10/24，也就是很快了，如今是2017/9/25，而後咱們在反查

16.png

這裏有165頁的域名，而後註冊公司都是些什麼鬼名字，在安全行業的同窗一看就知道這是黑產帝

咱們也能夠查查這個同窗的郵箱

17.png

18.png

19.png

這個是惡意域名無疑了吧？

那分析到這裏我想問一下百度的工做人員，爲何百度的域名請求的流量，最後會302到這個惡意域名？爲何惡意域名上會有大家的流量請求？

20.png

而後這個軟件指向了這個百度域名下的一個js文件，上面這段代碼中，很像XSS代碼中的語句

document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%20src%3D%22http%3A//cpro.baidustatic.com/cpro/ui/cm.js%3Ft%3D0%22%3E%3C/script%3E"))複製代碼

也是經過各類字符變化逃避檢測

這段代碼解碼以後是這樣

"<script type="text/javascript" src="http://cpro.baidustatic.com/cpro/ui/cm.js?t=0"></script>"複製代碼

他向這個cm.js傳了一個參數，t=0，這個能對百度域名下的腳本傳參數的，很玄妙

而後咱們訪問這個域名http://cpro.baidustatic.com/cpro/ui/cm.js就會跳轉到http://sc.qhdbfjx.com/img/cm.js

爲何百度域名的解析會跳轉指向惡意網址??這點也麻煩百度作出解釋（視頻這裏--->視頻君）

本文完

原文首發連接：blog.csdn.net/isinstance/…

微信訂閱號讀者點擊閱讀原文，能夠跳轉。

---

0.jpg

歡迎關注玄魂工做室