-
-
[原创]【续】记抓包分析百度CDN节点被入侵事件 -下
-
发表于: 2017-9-19 19:16
-
注意:这文章是 2014-11-20写的,留了很久现在自己也不做TO C的安全了,就把文章整理发出来,留在硬盘也是烂了而已
昨天晚上又尝试了进一步的挖掘,发现原来是百度的某个网站下的JS被注入了恶意JAVASCRIPT脚本代码。今天发现还没有封所以就继续抓包分析。
一。再探毒穴
有了昨天的大体分析之后,因为还没有找到最终的原因,我们紧紧只是根据包的异常行为来判断百度的CDN节点出了问题,但是问题出在哪里我们还不太清楚。基于昨天的分析,我们今天就再深入点了解下。
还记得我们之前提到的在访问测试页的时候它就弹了吗?(今天为了提取了一个比较简单的URL来测)。我们打开WIRESHARE,然后把AP的网卡和出口的网卡都监控起来,然后我们再浏览一次那个测试页。如期而弹!此时我们停止监控,然后我们导出所有的HTTP对象。
之后就是用TC搜下我们之前在浏览器看到的域名29so
我们发找到了一个,而且显示的是脚本里面发现的。
这样我们就可以确定我们被改的时候是执行到了这个脚本。
我们过滤下发现只有这3个JS脚本,我们接着就一个个排除,最后发现cm.js这个脚本存放了我们之前搜到的域名字符串
二。飞向光明顶
我们直接把这个CM.JS下载下来看下,CM.JS这个脚本是在我们访问测试页的时候它里面嵌入的
在下载好了之后我大概看了下这个JS脚本,发现加入恶意代码的那一段被混淆了。 
解密的方法有几个可以把上面的 eval函数改成弹框显示,或者把这个JS存在本地然后改下eval函数为写文件,然后再调用它,这样混淆的JS代码就解出来了。下面是我解出来的代码 
整理之后如下:
上面的JS脚本比较简单,就是判断浏览器的标识,然后再选择分支跳转访问,同时会对浏览器做一个COOKIES生效周期做的一个记录。从代码中可以看到该脚本会过滤很多浏览器,因此这个并不是所有的浏览器都会生效。而我测试的时候用的是原生的android浏览器,所以第一个条件就命中了,之后会往下走,然后再判断是否为苹果的设备。如果是就跳到a59K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4D9K9#2)9J5k6i4g2#2L8Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9h3&6C8i4K6u0r3x3e0R3H3z5e0f1^5i4K6u0r3i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1#2i4K6W2p5i4K6R3H3i4@1f1@1i4@1t1^5i4K6S2m8i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6R3#2i4@1t1$3i4@1f1@1i4@1u0n7i4K6V1$3i4@1f1^5i4@1q4q4i4@1u0q4i4@1f1#2i4@1p5@1i4K6R3%4i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1^5i4@1t1%4i4@1t1K6i4@1f1#2i4K6R3^5i4@1t1H3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4S2K9r3c8G2L8Y4N6I4M7r3&6V1M7r3q4F1M7#2)9J5k6e0t1&6M7$3!0Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8$3u0D9k6g2)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4y4q4!0n7z5q4)9^5b7g2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
到时整个事件的真正原因我们就了解了,就是百度的推广的一个网站JS被注入了恶意代码,导致所有引用到这个JS的网站都会跳到这个JS指定的网站上! PS:很奇怪的是sahdonwqpndpans.29so.com这个IP地址变了,和昨天指向百度CDN的IP不一样了!!!!!!!!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
