【杂谈】记一次主机被tn劫持的经历
起因是昨天晚上,看到了一本书上的SQL注入漏洞工具推荐,想起来前几天在i春秋靶场上用到的一个SQLI工具,叫明小子,很好用。一拍大脑,决定去下一个。
众所周知,按照某度和国内99%软件园的素质,搜索出来应该是这样的
作为一个安全人,对于这些网站应该嗤之以鼻
但这次偏偏在屋檐下(还是我懒
低了一下头
结果被下毒了
原本内心os:我只要小心一点取消那些选中的狗皮膏药软件就好,下完立马用杀毒软件扫描个百八十次
万万没想到
即使我取消了所有狗皮膏药软件的对勾
报应还是在我点完“安装结束”按钮后出现了
满屏的广告
此处不是夸张!满屏的广告,扑面而来,附加软件贴的死死的
没办法,只能硬着头皮上,扫出来一堆显性的病毒不说,最恶心的事情在今天出现了
我被tn劫持了
照常熟练打开百度
却发现url框出现了尾巴
暗骂了一声,便开始想如何解决
一般我们打开一个搜索网址
发送到服务器的url是这样的(关键词为tn劫持)
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&ch=&tn=baidu&bar=&wd=tn%E5%8A%AB%E6%8C%81&oq=%25E5%2597%25A4%25E4%25B9%258B%25E4%25BB%25A5%25E9%25BC%25BB&rsv_pq=fbb939690001af38&rsv_t=3de8BrTaXz9KfwG5i6KYIVKAsATMseODGu7ndqGaBIgHv1Scp56gGXad0qw&rqlang=cn&rsv_enter=1&rsv_btype=t&rsv_dl=tb&inputT=2172
| 参数 | 含义 |
|---|---|
| https: | 安全套接字层传送的超文本传输协议 |
| //www.baidu.com/ | 百度的域名 |
| s | 这是一种无扩展名的方法实现的 |
| ie | 关键字编码格式默认为:GB2312 简体中文 |
| f | 值有:1,3,8,时发现就这3种。 |
| 1指的是相关搜索,透露表现用户选择了搜索页面最下面的“相干搜索”中的某个关键词。; | |
| 3下拉框搜索透露表现用户输入肯定的词语之后出现“联想词语”,用户最终用鼠标选择了某个关键词;或用键盘选择了某个关键词后直接按回车。; | |
| 8用户自立搜索,透露表现用户直接点击“百度一下”按键(有bs变量时才出现f=8) | |
| rsv_bp | 使用的是百度哪一个搜索框0是首页输入;1是顶部搜索输入;2是底部搜索输入 |
| tn | 提交搜索请求来源。比如我这里如果是xxx_hao_pg,说明是有流氓线程在做广告;当tn= baiduerr 表示这是从错误页搜索跳转过来的,tn=baidulocal表示百度站内搜索,返回的结果很干净,无广告干扰 |
| wd | 查询关键字 |
| rsv_spt | 表示首页搜索浏览器内核版本类型 |
| oq | 上次索引关键字 |
其他的不再赘述,贴一下链接
百度url组成
这里着重需要注意的就是tn
这里简单说一下
网站劫持的类型
- 网站域名泛解析
打个比方,我们实际生活中有时候点到某个正规网站,比如学校或者*的网站,实际上却是某博彩网站。
实际上这里很多跟泛域名解析无关,单纯就是网站被黑了,挂了黑页代码,针对搜索引擎做了「隐藏优化」,只有访客访问的时候才呈现被黑后的网站,搜索引擎爬虫收录的时候可以显示一切正常。泛域名解析本身是无害的,实际所谓「被黑」其实非常简单,就是攻击者拿到了目标域名的管理权限,直接添加了一个泛域名解析指向攻击者自己控制的 IP
- 浏览器劫持
网站浏览器域名劫持,当你使用一些浏览器的时候,会自动出现一个浏览器的广告新闻。 - 运营商的劫持
顾名思义
情况分类:
1,ISP劫持
浏览器主页采用默认主页http://go.microsoft.com/fwlink/?LinkId=625115,打开主页,就会跳转到https://www.baidu.com/?tn=80035161_1_dg
解决方案:
1),在注册表中搜索www.baidu.com,如果搜索结果键值后面有tn+数字,全部修改为https://www.baidu.com/index.html或你需要设置为主页的网址,
2),在您的浏览器设置里,把原来的主页地址删除,再添加自定义网址,网址请和步骤1中的主页地址统一即可。
2,搜索引擎劫持
主要表现为,打开浏览器,自动跳转到https://www.baidu.com/?tn=97654082_hao_pg
注:因为劫持服务各不相同,所以?tn=后面的数字可能会不同。
解决方法:
进入设置之后,在页面处找到“搜索”选项,然后点击“管理搜索引擎”
把默认搜索引擎网站换成https://www.baidu.com/#ie={inputEncoding}&wd=%s
或者锁定其他的,这样就可以解决
换火狐浏览器也有这个毛病,tn=monline_4_dg,搜了一下,这是火狐的来源身份识别码,好一个官方恰饭
事到如今也只能这样了
火狐就快解散了,能支持一把是一把了
教训:
1,ctf工具不要下载到主机,要下载到虚拟机
2,不要到小网站下载软件,避免软件投毒
3,不要抱有侥幸心理