龙空技术网

wifi被劫持,植入广告,背后是运营商获利的硬条件

黑灰经 506

前言:

如今同学们对“右下角弹出广告js”大约比较关切,兄弟们都需要学习一些“右下角弹出广告js”的相关资讯。那么小编也在网摘上收集了一些对于“右下角弹出广告js””的相关文章,希望你们能喜欢,姐妹们快快来了解一下吧!

最近,可真想不到自己用的wifi被劫持了,由于经常在外面给客户维护系统,很少在家里待,前天在家用网时发现手机浏览器老是弹出其他平台的链接广告,于是决定寻找一下根源。

这个联通宽带是去年6、7月份安装。路由器是华硕RT-ACRH17双频,网线直接插在交换机上。一开始怀疑是路由器导致的问题,所以重新设置了路由器,但广告依然出现。于是切换了不同的网络,包括在pc端测试,没有发现广告出现,一旦打开wifi广告就会弹出来。这时候怀疑是wifi被劫持,应该和运营商有关。因为路由器的DNS已经设置,排除了DNS劫持。

接下来通过了Charles对iPhone抓包,提取日志进行分析。发现返回的数据中有弹出来广告tbopen 的请求。这个请求为。

为了获取JS真实内容,用了阿里云VPS里进行访问,JS的内容实际是这样的:

curl -H 'Host: static.geetest.com' -H 'Accept: */*' -H 'User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1' -H 'Accept-Language: zh-cn' -H 'Referer:; --compressed ';

其实到这里能感觉到应该是伪装js内容,然后植入广告,为了进一步证实,使用了mac重新释放了curl命令,但依然被劫持。而被劫持后会出现新的js请求,只能修改请求的user-agent字段,并去掉手机标识符,仅保留safari,继续重放,发现没有出现被劫持的现象。

同时,在发生劫持后,url里多了个参数utm_id的参数,这个参数目的是为了区分请求,确保真正的js能正常返回不影响网页加载,避免二次劫持导致无法加载出正确的js内容。这时已经印证前面的判断,它是运营商接入点会根据ua过滤出移动设备中的http js请求,然后劫持后的伪js内容,并在里面嵌入广告的链接。

运营商在卖流量的同时,还不忘植入广告获利。基本肯定的是很多人的wifi都有可能面临着被劫持,虽然这种劫持没有造成任何的损失,但会让用户的体验性非常不好。

往期内容:

套路丨黑灰产中的私服,有人月入10W,推广手段不同往日

攻击丨杂谈黑灰产业的暴利行情

攻击丨网络的黑灰产你们看不见的黑吃黑

套路|撸羊毛中的试玩任务,不建议做,原因是这样

套路|日入8万的抖音口红

套路|揭秘:2020年某社交软件打着交友敛财的套路

标签: #右下角弹出广告js