查看: 7435|回复: 0

【Web逆向】一个颜色链接推广分析

[复制链接]
匿名
匿名  发表于 2023-3-30 20:31:15 |阅读模式
作者:D4rk1n9

1、偶然间看到QQ邮箱收到一封邮件。于是就打开看了一下。(其实我邮件比较多、一般也不会打开看、碰巧了。)

qw1.jpg

可以看到有两份邮件、细心地朋友可以看到时间那块有点不对劲哈。
2、打开以后是这个样子滴。

qw2.jpg

3、于是我就果断拿起手机进行扫码。不出所料、直接跳转到了一个腾讯文档。里面是带有超链接的。

qw3.jpg

点击以后直接跳转到一个颜色网站。

qw4.jpg


4、复制超链接、复制出来地址是:下图

qw5.jpg

(PS:地址没打码、如果违规麻烦超管帮忙处理一下,辛苦了。)

分析过程

问题1.
dss.png 明明是一个图片后缀,为什么会 被解析为HTML . 原因;weXXXan.com的cdn 支持png内容是html格式.
Content-Type: image/svg+xml 服务器的返回值是这个.
那我们来直接访问一下这个png试试。
打开是空白的。应该是一张透明图片。也没具体看,直接看一下response包。

qw6.jpg

可以看到、包里面有一个js的连接。直接访问这个js看看里面的具体内容。

qw7.jpg

简单分析一下

qw8.jpg


qw9.jpg


前面是一个 代{过}{滤}理 , 确认 一个代{过}{滤}理商 ,方便给他们进行推广计费.


qw10.jpg

一看就是base64的来编码一下子。

qw11.jpg

比较简单,一目了然。
然后自己拼接一下。测试一下这个能否可控。

qw12.jpg

base64编码后得到这个。然后和地址拼接起来访问一下。
分析完了。

PS:其实还有一个微信上做跳转的。利用的是360和米哈游的地址做的跳转。只是现在那个url失效了。就不做分析了。不过当时抓到的包还在。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-21 22:59 , Processed in 0.027967 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部