不明恶意攻击致<搜狗搜索><搜索结果>跳转<百度搜索>技术原理分析

---

做者：玄魂工做室 EE

---

先声明一点，本文做者不是搜狗的

而后

只是从技术的角度探讨问题

---

目录

• 不明恶意攻击致<搜狗搜索><搜索结果>跳转<百度搜索>技术原理分析
• 目录

  * [**前提背景**](#前提背景)
    * [**BS流量分析**](#bs流量分析)
        * [**继续分析**](#继续分析)复制代码

---

前提背景

最近我用搜狗的搜索的时候，就发现搜索结果会跳转到百度搜索，可是没注意，可是最近这个频率愈来愈高了以后，开始关注这个事，本人的这些分析只是抛砖引玉，欢迎更多的大神来加入分析

咱们先看一段视频，这是我差很少一两个月以前录的，而后这个由于还原比较难（随机的因素），毕竟<黑产帝>也不是吃素的，因此我就录了一段屏，录了好几回，只有那么一次成功复现了的

视频地址在这里--->视频君

而后今天早上吧，我又发现这东西跳转又出现，因此我用Burp Suite(如下简称BS)截了一下吧，很巧的，才点了下一个连接，就跳转了，千分之一的几率被我撞上了

而后下面咱们就来看这个东西的分析

BS流量分析

咱们先来看流量的分析

下面我直接贴BS的截图了，图片没有加工过，可是若是有关方面有异议，能够申请技术鉴定，上面那个视频也是同样的，若是有异议，能够申请技术鉴定

今早我是打算给个人虚拟机装个某压缩软件，我就不说是哪一个软件了，而后呢因此若是截图出现什么2345的网址和一些软件下载网址的话你们不要奇怪，这不是广告（喂喂喂，你们不要走啊）

而后咱们先来看第一条可疑的流量

为了图片的真实性，我就不圈圈和乱画了

图片

这是某压缩软件的官网，你们一看就知道，我就不打广告了

咱们打开这个ggcode.2345.com后会发现会跳转到百度推广的官方网站，而后这个这里请求了一个js的文件，咱们看看这是什么

2.png

这应该是一个2345网的推广用的js代码，这个咱们先无论，这个代码我贴这里了--->Github

咱们来看这个请求的response

3.png

就是返回了这个网页上的这个js代码，和一个这个

Set-Cookie: BAIDUID=5007864C1D257146A762EA3D69151474:FG=1; expires=Fri, 21-Sep-18 05:08:56 GMT; max-age=31536000; path=/; domain=.baidu.com; version=1复制代码

而后继续看这个请求的下文

4.png

在请求完http://ggcode.2345.com以后紧接着的就是一个http://cpro.baidustatic.com的请求，这个请求是什么样的

5.png

这里请求了一个也是js，注意这里的状态码，是302，302意味着什么，意味着咱们要跳到其它网址了，咱们再看看response

6.png

发现什么？百度的网址的js代码要求跳转到一个http://sc.qhdbfjx.com/pil9/cw.js上，咱们看看这个网址上的这个代码，请注意第二行和第四行的代码

7.png

这里明显出现了baidu字样

这个代码我贴到这里了--->Github

这里要么有一种可能，就是个人本地网络被谁劫持了，跳转到这个网址，可是这个对谁也没啥好处啊，就从搜狗搜索跳转到百度搜索，除了百度

而后咱们继续看

8.png

其余那些无关流量是网站产生的，咱们无论他，而后看这里，咱们上一个流量不是302了嘛，而后这就是302后的流量

请注意状态是304，由于刚刚才跳转过，我一看有了，就开始截包了，因此这里状态码是304，由于这个js文件，咱们本地已经有了，时间没过时，因此服务器返回304

9.png

response也是同样的，可是咱们能够去这里网址和路径看一下这个代码是什么，就是上面那个

而后一些无关的流量以后，咱们会发现又请求了一个推广的js

10.png

此次状态码不是302了，而是200

这个请求的js在这里--->Github

而后执行完这个请求的js以后，咱们的浏览器就开始跳百度了

11.png

看到下面那个http://pos.baidu.com没？开始跳到百度了

这是完整的URL

http://pos.baidu.com/s?hei=22&wid=400&di=u2849903&ltu=http%3A%2F%2Fwww.duote.com%2Fsoft%2F3384.html&cmi=5&tlm=1506171517&ltr=https%3A%2F%2Fwww.sogou.com%2Flink%3Furl%3DDSOYnZeCC_rnZBEq7eVevZxspV_DrxUOW1cto8mAN_y2wKelUak-kA..&cec=GBK&dri=1&dc=2&chi=1&exps=111000&cpl=4&cfv=0&cdo=-1&dai=1&dis=0&par=1536x824&tpr=1506305183853&tcn=1506305184&ps=316x868&drs=1&ari=2&cce=true&cja=false&pis=-1x-1&ti=%E3%80%90%E5%A5%BD%E5%8E%8B%E8%BD%AF%E4%BB%B6%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD%E3%80%912345%E5%A5%BD%E5%8E%8B%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD_2345%E8%BD%AF%E4%BB%B6%E5%A4%A7%E5%85%A8&psr=1536x864&pss=1536x640&ant=0&col=zh-CN&dtm=HTML_POST&pcs=1536x734&ccd=24复制代码

看到这串URL里面的sogou.com没有？？？

而后这个的response是这样的

12.png

有点长，我把他丢这里了--->Github

而后，从这里开始，你就已经从搜狗搜索，跳到百度搜索了

咱们会发现这么一个有趣的东西

13.png

这个请求的Referer是http://www.duote.com/soft/3384.html

为咱们打开这个网址

14.png

毫无疑问，百度劫持了搜狗的流量，由于推广是按访问流量算钱的，而后你懂的

而后，这还没完

继续分析

咱们是否是忘了一开始的那个网站了，咱们继续分析看这个网址是http://sc.qhdbfjx.com/sta/pi19/cw.js

咱们查一查

15.png

会发现这我的zhengqing hua的人，这个域名的过时时间是2017/10/24，也就是很快了，如今是2017/9/25，而后咱们在反查

16.png

这里有165页的域名，而后注册公司都是些什么鬼名字，在安全行业的同窗一看就知道这是黑产帝

咱们也能够查查这个同窗的邮箱

17.png

18.png

19.png

这个是恶意域名无疑了吧？

那分析到这里我想问一下百度的工做人员，为何百度的域名请求的流量，最后会302到这个恶意域名？为何恶意域名上会有大家的流量请求？

20.png

而后这个软件指向了这个百度域名下的一个js文件，上面这段代码中，很像XSS代码中的语句

document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%20src%3D%22http%3A//cpro.baidustatic.com/cpro/ui/cm.js%3Ft%3D0%22%3E%3C/script%3E"))复制代码

也是经过各类字符变化逃避检测

这段代码解码以后是这样

"<script type="text/javascript" src="http://cpro.baidustatic.com/cpro/ui/cm.js?t=0"></script>"复制代码

他向这个cm.js传了一个参数，t=0，这个能对百度域名下的脚本传参数的，很玄妙

而后咱们访问这个域名http://cpro.baidustatic.com/cpro/ui/cm.js就会跳转到http://sc.qhdbfjx.com/img/cm.js

为何百度域名的解析会跳转指向恶意网址??这点也麻烦百度作出解释（视频这里--->视频君）

本文完

原文首发连接：blog.csdn.net/isinstance/…

微信订阅号读者点击阅读原文，能够跳转。

---

0.jpg

欢迎关注玄魂工做室