最近，可真想不到自己用的wifi被劫持了，由于经常在外面给客户维护系统，很少在家里待，前天在家用网时发现手机浏览器老是弹出其他平台的链接广告，于是决定寻找一下根源。

这个联通宽带是去年6、7月份安装。路由器是华硕RT-ACRH17双频，网线直接插在交换机上。一开始怀疑是路由器导致的问题，所以重新设置了路由器，但广告依然出现。于是切换了不同的网络，包括在pc端测试，没有发现广告出现，一旦打开wifi广告就会弹出来。这时候怀疑是wifi被劫持，应该和运营商有关。因为路由器的DNS已经设置，排除了DNS劫持。

接下来通过了Charles对iPhone抓包，提取日志进行分析。发现返回的数据中有弹出来广告tbopen 的请求。这个请求为。

为了获取JS真实内容，用了阿里云VPS里进行访问，JS的内容实际是这样的：

curl -H 'Host: static.geetest.com' -H 'Accept: */*' -H 'User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1' -H 'Accept-Language: zh-cn' -H 'Referer:; --compressed ';

其实到这里能感觉到应该是伪装js内容，然后植入广告，为了进一步证实，使用了mac重新释放了curl命令，但依然被劫持。而被劫持后会出现新的js请求，只能修改请求的user-agent字段，并去掉手机标识符，仅保留safari，继续重放，发现没有出现被劫持的现象。

同时，在发生劫持后，url里多了个参数utm_id的参数，这个参数目的是为了区分请求，确保真正的js能正常返回不影响网页加载，避免二次劫持导致无法加载出正确的js内容。这时已经印证前面的判断，它是运营商接入点会根据ua过滤出移动设备中的http js请求，然后劫持后的伪js内容，并在里面嵌入广告的链接。

运营商在卖流量的同时，还不忘植入广告获利。基本肯定的是很多人的wifi都有可能面临着被劫持，虽然这种劫持没有造成任何的损失，但会让用户的体验性非常不好。

往期内容：

套路丨黑灰产中的私服，有人月入10W，推广手段不同往日

攻击丨杂谈黑灰产业的暴利行情

攻击丨网络的黑灰产你们看不见的黑吃黑

套路｜撸羊毛中的试玩任务，不建议做，原因是这样

套路｜日入8万的抖音口红

套路｜揭秘：2020年某社交软件打着交友敛财的套路