作者：玄魂工作室 EE

先聲明一點(diǎn)，本文作者不是搜狗的

然后

只是從技術(shù)的角度探討問題

目錄

• 不明惡意攻擊致<搜狗搜索><搜索結(jié)果>跳轉(zhuǎn)<百度搜索>技術(shù)原理分析
• 目錄
  * 前提背景
  * BS流量分析
  * 繼續(xù)分析

前提背景

最近我用搜狗的搜索的時候，就發(fā)現(xiàn)搜索結(jié)果會跳轉(zhuǎn)到百度搜索，但是沒注意，但是最近這個頻率越來越高了之后，開始關(guān)注這個事，本人的這些分析只是拋磚引玉，歡迎更多的大神來加入分析

我們先看一段視頻，這是我差不多一兩個月之前錄的，然后這個因?yàn)檫€原比較難（隨機(jī)的因素），畢竟<黑產(chǎn)帝>也不是吃素的，所以我就錄了一段屏，錄了好幾次，只有那么一次成功復(fù)現(xiàn)了的

視頻地址在這里--->視頻君

然后今天早上吧，我又發(fā)現(xiàn)這東西跳轉(zhuǎn)又出現(xiàn)，所以我用Burp Suite(以下簡稱BS)截了一下吧，很巧的，才點(diǎn)了下一個鏈接，就跳轉(zhuǎn)了，千分之一的概率被我撞上了

然后下面我們就來看這個東西的分析

BS流量分析

我們先來看流量的分析

下面我直接貼BS的截圖了，圖片沒有加工過，但是如果有關(guān)方面有異議，可以申請技術(shù)鑒定，上面那個視頻也是一樣的，如果有異議，可以申請技術(shù)鑒定

今早我是打算給我的虛擬機(jī)裝個某壓縮軟件，我就不說是哪個軟件了，然后呢所以如果截圖出現(xiàn)什么2345的網(wǎng)址和一些軟件下載網(wǎng)址的話大家不要奇怪，這不是廣告（喂喂喂，大家不要走啊）

然后我們先來看第一條可疑的流量

為了圖片的真實(shí)性，我就不圈圈和亂畫了

圖片

這是某壓縮軟件的官網(wǎng)，大家一看就知道，我就不打廣告了

我們打開這個ggcode.2345.com后會發(fā)現(xiàn)會跳轉(zhuǎn)到百度推廣的官方網(wǎng)站，然后這個這里請求了一個js的文件，我們看看這是什么

2.png

這應(yīng)該是一個2345網(wǎng)的推廣用的js代碼，這個我們先不管，這個代碼我貼這里了--->Github

我們來看這個請求的response

3.png

就是返回了這個網(wǎng)頁上的這個js代碼，和一個這個

Set-Cookie: BAIDUID=5007864C1D257146A762EA3D69151474:FG=1; expires=Fri, 21-Sep-18 05:08:56 GMT; max-age=31536000; path=/; domain=.baidu.com; version=1

然后繼續(xù)看這個請求的下文

4.png

在請求完http://ggcode.2345.com之后緊接著的就是一個http://cpro.baidustatic.com的請求，這個請求是什么樣的

5.png

這里請求了一個也是js，注意這里的狀態(tài)碼，是302，302意味著什么，意味著我們要跳到其它網(wǎng)址了，我們再看看response

6.png

發(fā)現(xiàn)什么？百度的網(wǎng)址的js代碼要求跳轉(zhuǎn)到一個http://sc.qhdbfjx.com/pil9/cw.js上，我們看看這個網(wǎng)址上的這個代碼，請注意第二行和第四行的代碼

7.png

這里明顯出現(xiàn)了baidu字樣

這個代碼我貼到這里了--->Github

這里要么有一種可能，就是我的本地網(wǎng)絡(luò)被誰劫持了，跳轉(zhuǎn)到這個網(wǎng)址，但是這個對誰也沒啥好處啊，就從搜狗搜索跳轉(zhuǎn)到百度搜索，除了百度

然后我們繼續(xù)看

8.png

其他那些無關(guān)流量是網(wǎng)站產(chǎn)生的，我們不管他，然后看這里，我們上一個流量不是302了嘛，然后這就是302后的流量

請注意狀態(tài)是304，因?yàn)閯倓偛盘D(zhuǎn)過，我一看有了，就開始截包了，所以這里狀態(tài)碼是304，因?yàn)檫@個js文件，我們本地已經(jīng)有了，時間沒過期，所以服務(wù)器返回304

9.png

response也是一樣的，但是我們可以去這里網(wǎng)址和路徑看一下這個代碼是什么，就是上面那個

然后一些無關(guān)的流量之后，我們會發(fā)現(xiàn)又請求了一個推廣的js

10.png

這次狀態(tài)碼不是302了，而是200

這個請求的js在這里--->Github

然后執(zhí)行完這個請求的js之后，我們的瀏覽器就開始跳百度了

11.png

看到下面那個http://pos.baidu.com沒？開始跳到百度了

這是完整的URL

http://pos.baidu.com/s?hei=22&wid=400&di=u2849903&ltu=http%3A%2F%2Fwww.duote.com%2Fsoft%2F3384.html&cmi=5&tlm=1506171517&ltr=https%3A%2F%2Fwww.sogou.com%2Flink%3Furl%3DDSOYnZeCC_rnZBEq7eVevZxspV_DrxUOW1cto8mAN_y2wKelUak-kA..&cec=GBK&dri=1&dc=2&chi=1&exps=111000&cpl=4&cfv=0&cdo=-1&dai=1&dis=0&par=1536x824&tpr=1506305183853&tcn=1506305184&ps=316x868&drs=1&ari=2&cce=true&cja=false&pis=-1x-1&ti=%E3%80%90%E5%A5%BD%E5%8E%8B%E8%BD%AF%E4%BB%B6%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD%E3%80%912345%E5%A5%BD%E5%8E%8B%E5%AE%98%E6%96%B9%E4%B8%8B%E8%BD%BD_2345%E8%BD%AF%E4%BB%B6%E5%A4%A7%E5%85%A8&psr=1536x864&pss=1536x640&ant=0&col=zh-CN&dtm=HTML_POST&pcs=1536x734&ccd=24

看到這串URL里面的sogou.com沒有？？？

然后這個的response是這樣的

12.png

有點(diǎn)長，我把他丟這里了--->Github

然后，從這里開始，你就已經(jīng)從搜狗搜索，跳到百度搜索了

我們會發(fā)現(xiàn)這么一個有趣的東西

13.png

這個請求的Referer是http://www.duote.com/soft/3384.html

為我們打開這個網(wǎng)址

14.png

毫無疑問，百度劫持了搜狗的流量，因?yàn)橥茝V是按訪問流量算錢的，然后你懂的

然后，這還沒完

繼續(xù)分析

我們是不是忘了一開始的那個網(wǎng)站了，我們繼續(xù)分析看這個網(wǎng)址是http://sc.qhdbfjx.com/sta/pi19/cw.js

我們查一查

15.png

會發(fā)現(xiàn)這個人zhengqing hua的人，這個域名的過期時間是2017/10/24，也就是很快了，現(xiàn)在是2017/9/25，然后我們在反查

16.png

這里有165頁的域名，然后注冊公司都是些什么鬼名字，在安全行業(yè)的同學(xué)一看就知道這是黑產(chǎn)帝

我們也可以查查這個同學(xué)的郵箱

17.png

18.png

19.png

這個是惡意域名無疑了吧？

那分析到這里我想問一下百度的工作人員，為什么百度的域名請求的流量，最后會302到這個惡意域名？為什么惡意域名上會有你們的流量請求？

20.png

然后這個軟件指向了這個百度域名下的一個js文件，上面這段代碼中，很像XSS代碼中的語句

document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%20src%3D%22http%3A//cpro.baidustatic.com/cpro/ui/cm.js%3Ft%3D0%22%3E%3C/script%3E"))

也是通過各種字符變化逃避檢測

這段代碼解碼之后是這樣

"<script type="text/javascript" src="http://cpro.baidustatic.com/cpro/ui/cm.js?t=0"></script>"

他向這個cm.js傳了一個參數(shù)，t=0，這個能對百度域名下的腳本傳參數(shù)的，很玄妙

然后我們訪問這個域名http://cpro.baidustatic.com/cpro/ui/cm.js就會跳轉(zhuǎn)到http://sc.qhdbfjx.com/img/cm.js

為什么百度域名的解析會跳轉(zhuǎn)指向惡意網(wǎng)址??這點(diǎn)也麻煩百度做出解釋（視頻這里--->視頻君）

本文完

原文首發(fā)鏈接：http://blog.csdn.net/isinstance/article/details/78085339

微信訂閱號讀者點(diǎn)擊閱讀原文，可以跳轉(zhuǎn)。

0.jpg

歡迎關(guān)注玄魂工作室