关于那个病毒营销微信QQ域名的m4a跳转到其他域名的技术栈大概整理清楚了
首先技术点不是在 https://succk.oss-cn-chengdu.aliyuncs.com/qq[/code]不是在这一句,这一句最后一行就是被base64转码回来的明码远程js地址。这个js里面也是加密的,但大概看了下,js里面主要就是判断usergent,然后js里面有跳转地址
- &window['location']xxx('https://su'+'cck.oss-ac'+xxx+xxx+'m/520.html'+window['location']xxx windowxxx('https://ja'+'vaboy.onli'+'ne/t'+xxx
起码可以看到是跳转到succk.oss-ac+加密参数+加密参数+m/520.html
然后下面还有地址javaboy.onlinet+其他的鬼东西。
上面都不是重点。
重点是,https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a?kf=bx8rjq4r854ak8clokshgk8xsi6z6yw2jntth3nfsnasz5l3nidu9bh2fljyavww96
这其实是一个m4a音频文件的静态地址。
如果没有后面的kf=xxx部分。那就是个静态文件地址。https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a
这样的地址会有服务器引擎,类似nginx,apache这样的引擎直接硬盘读取然后发送给浏览器的。
我们首先看一下这个m4a文件实际代码
我测试经过http协议读取这个文件,浏览器会被正常解析为m4a,当然你本地m4a文件直接浏览器打开,也一样是m4a
也就是浏览器会理解这个文件是个音频文件,会内部加载播放器播放。而m4a文件里面的html代码是不会执行的
注意看右侧的代码,是浏览器自己生成的播放器代码
那问题就是服务器发送给浏览器之前,如果nginx或者apache这样的引擎声明这就是一个html文件呢?
也就是类似nginx引擎里面是有mime.types配置文件的
里面正常的文件类型是
audio/x-m4a m4a;
如果改成
text/html m4a;
注意看右侧的html代码,已经是m4a里面的真实代码,当然就可以加js来控制了。比如<html lang="en" hidden>
比如这个hidden就是原版病毒js控制的隐藏整个document根节点。然后远程js来跳转到新的网址等等。
然后我们再来说一下.m4a?kf=bx8rjq4r854ak8clokshgk8xsi6z6yw2jntth3nfsnasz5l3nidu9bh2fljyavww96
后面加参数的意思。意思就是nginx或者apache这样的引擎发现是m4a的文件,不会直接发给浏览器,而是根据规则直接转发到其他逻辑语言进行鉴权,比如lua,php等。
http://www.manongjc.com/detail/18-ybntokjzliuzngd.html
https://bobjin.com/blog/view/8533d98a8c1888bb4e9dae3abec6075a.html
这样做的目的只是防止被盗链,一般都是会加上超时验证的。
但是上面说了一大片,其实鉴权的事情是另外的,可以看到这个病毒m4a地址后面的鉴权参数是长期有效的,你即使删除后面的参数,直接访问
https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a
也是长期有效的,也就是说腾讯的这个鉴权机制根本就没有写好,根本没有超时的判断
那么问题就在
nginx被声明了
text/html m4a;
我尝试删除mime.types里面的这条配置或者改成其他的比如text/aaa m4a;
由于浏览器无**确判断这个文件类型,都会直接下载该文件。
也就是只有强制声明m4a为text/html,浏览器才会用html引擎来解析m4a里面的html代码
所以:两种可能。一种就是腾讯的程序员没有很好的处理这个m4a后缀的mime类型声明。(我觉得不会,因为默认都已经声明好了)
另外一种可能,就是真的有程序员人工声明了text/html m4a;这样的后缀
最后就是,这个腾讯的域名是gameplus.qq.com
就是腾讯游戏社区,注册后上传可以图片,视频,音频,关键是客户端操作都是直接调取话筒录音,没有选择录音文件的步骤。
所以要想把一个伪造的录音文件上传上去,还要抓包,分析接口,然后模拟提交才行。
要么就是有内部人员参与了,直接FTP上传就完事了
所以这些大型企业由于利益问题,个别程序员是真的大胆,参与了外部的一些非法获利呀。
其实,我正在跟踪一个很奇怪的百度地址
cpu.baidu.com
这样的一个垃圾站按道理百度官方是不会弄的。跟踪很久了,收录直线上涨
你可以访问https://cpu.baidu.com/robots.txt
看看他屏蔽主页,但是却开放了一个/pc/1022/275122716/
目录给所有搜索引擎收录。
https://tieba.baidu.com/p/7035940219
然后也被客户投诉。。完全就是采集的数据,但不进入百度搜索引擎,就是要独立搞个垃圾站来抢占流量。。。
所以我估计也是内部程序员为了赚外快搞的。
热议
2楼 汤家凤 昨天21:18
我先给大佬点赞
3楼 dole 昨天21:20
奇怪的黑产知识增加了
4楼 tkn 昨天21:23
太长了, 大佬能否来句总结。
5楼 xiaobaiyang 昨天21:27
黑产知识奇怪的增加了
6楼 htazq 昨天21:34
给大佬顶贴
7楼 yooooo 昨天21:45
满满的干货,感谢大佬分享
8楼 Zeros 昨天22:05
虽然看着很懵逼,但是顶下
9楼 腾讯公司 昨天22:35
给大佬顶贴,关于 cpu.baidu.com 在网上找到一点信息,貌似就是百度官方自己做的?
从 https://cpu-admin.baidu.com/login.html 这里看好像这个项目叫 内容联盟 ,点右面的忘记密码发现账户是和百度营销通用的。顺便,这里有一篇知乎的文章,https://www.zhihu.com/question/67708499
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。