HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: EvilGod
查看: 359|回复: 0

more +随机图赏Gallery

社工库查询工具1.1修改版社工库查询工具1.1修改版
可以手机远程控制电脑,手机远程控制手机的超强工具!可以手机远程控制电脑,手机远程控制手机的超强工具!
简单---两步--进暗网--更新之前的简单---两步--进暗网--更新之前的
2017年中旬WEB渗透系列课程-00前言2017年中旬WEB渗透系列课程-00前言
2017年中旬WEB渗透系列课程-25基于php参数开关的提权2017年中旬WEB渗透系列课程-25基于php参数开关的提权
2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
御剑后台扫描--自带10多兆后台数据库御剑后台扫描--自带10多兆后台数据库
国内高手浅蓝渗透视频,值得一看。国内高手浅蓝渗透视频,值得一看。
【重要公告】2017年中工作进展及最新课程发布【重要公告】2017年中工作进展及最新课程发布
二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆

某次流量劫持分析过程

[复制链接]
EvilGod 发表于 2018-1-10 17:16:58 | 显示全部楼层 |阅读模式
查看: 359|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
作者:yym
原文地址:https://secvul.com/topics/884.html

0x01 流量劫持现象
  • 最近发现通过域名(*.example.com.cn)访问网站时,发现有被恶意植入的广告内容。
  • 通过排查服务器端,并未发现有被恶意植入的篡改广告内容。
  • 不同地域访问,有些地域有被插入的恶意广告内容,而有些地域就没有(比如:广州、深圳、北京)。
  • 所以初步分析是在流量传输过程中被劫持篡改了(之前处理过几起其他机构/企业的劫持流量案例)。
1) 针对上面的初步分析猜测,分析访问时所有的流量过程,发现了一个可疑的地方,当访问 http://hm.baidu.com/a.js 时,被重定向(302)了,如下图:

2)然后通过分析重定向的地址又被重定向到了 https://a.yellqu.com 网站,如下图:

3)通过分析此js文件返回的内容,判断是个广告的精准营销相关内容,如下图:

4)然后再去域名上 a.qnroad.com 服务器上获取具体的广告内容,如下图:

看右侧部分的代码,可看出,通过添加了好多 iframe 节点元素,插入了大量的广告,刚好和前端页面的广告页面吻合。
0x02 分析总结
此次分析,最困难的就是怎么定位到第一个被劫持的访问请求,这是个体力活(若谁有高级的工具或技巧,欢迎来交流),
通过在正常地域(即访问无广告)和异常地域(即访问有广告)对比分析,正常地域的流量一切正常,而异常地域的流量内容,被发生了重定向,对比分析得出为流量劫持。
解决方案,大家都懂的。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2018-1-24 13:45 , Processed in 0.081521 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.