狗推必看！什么是劫持？菠菜行业有该如何利用劫持？

西港三少爷
LV3 流浪的疾风

帖子 42

新博币 0

提现

提现 0 元

发表于 2019-5-28 14:46:51 2.7万 301 | 显示全部楼层 |倒序浏览

楼主

本文会深度解析劫持的原理，以及菠菜行业如何利用劫持进行引流。最后也会让菠菜行业了解到，如何自己来做劫持!

什么是“劫持”？ “劫持”有哪几种类型？

第一类：是用户主页劫持

一般是正规互联网公司利用应用软件。安装安全软件或应用软件时，未经任何提示完成安装后，浏览器主页地址也随之被修改为相关网址或导航网页。

第二类：是第三方工具软件的捆绑安装

这类软件通常会捆绑安装浏览器和游戏，并默认设定新的目标主页。即便是安装过程中弹出“是否同意用户协议”的窗口，由于协议冗长，用户很少会看全或者根本不看就点击“同意”。这时用户的应用就会被捆绑劫持。

第三类：DNS劫持

这个是DNS解析域名。比如你得网站DNS登录的账号密码被人破解了。修改了你的解析记录。

第四类：搜索引擎快照劫持

这个是你的网站被入侵了。被黑客使用网站服务器支持的程序语言如：ASP、PHP、JAVA、JS、xml。撰写了根据来路判断跳转的代码

导致了你的网站从搜索引擎打开后跳转到了不是你的网站页面上。

这种情况政府、教育、企业网站居多。

第五类：电信区域劫持

记得某一年、某省，使用该省所有的电信宽带业务的电脑。

打开浏览器打开指定类型的网站，都会不定时的弹窗出某个电脑培训学校的网页。

这种叫电信劫持。

第六类：IDC服务器提供商劫持

这种就是你的网站服务器劫持你的流量了。甚至可以把某地区打不开网站的都可以这样理解（前提是服务器商的线路确实没问题，人为故意的。）

第七类：IDC域名商劫持

这种情况其实可以跟DNS劫持一样的理解，不同的是你登录账户后很正常。看不出毛病，但其实在代码里已经实现了劫持。

第八类：硬件厂商劫持

如路由器、交换机。有的是厂商跟某某游戏公司合作，经过流量甄别之后劫持。

有的是软件漏洞、或者是厂商程序员非法啥啥，最后是流量甄别销售相关流量给其他需要流量的人或者公司。

而菠菜台子又适合以哪种劫持方式，来为台子引流就是我们今天要讨论的我们统称为强行劫持。

跳转强行劫持其实就是我们现在常听到的劫持跳转就是DNS（第三类）和搜索引擎快照劫持（第四类）还有IDC（第七类）。他们又分为硬劫持和随机劫持，硬劫持目前能做到的渠道不多，因为性质较为严重，而且一但报警被查，那是跑都没用。

同时，劫持网站也分为劫持同行网站和劫持优质企业官网。以此获得优质小白客户，因为登录这类网站的人群，很多都是想寻找合作的某家公司负责人，虽然这种客户成功率较低但是一但吸引进来成功培养就是大鱼中的大鱼。

诚然，数量决定质量，这种方式如果只针对一家企业官网进行劫持意义不大。

网站劫持跳转的问题分析

随机劫持，即服务器信息以及网站信息的交接的时候，由技术团队进行了全面的网站安全分析找到漏洞入口，以及木马后门和恶意跳转代码的审计工作，目前主流网站都是由开源程序php+mysql架构，由于这种代码的开源性，即使被管理员发现删除恶意代码后没过多久就又被篡改，随机劫持如果反复的被删除几次就会马上停止，然后更换网站。我们可以打开网页文件查看下源代码就会看到加密的代码也就是跳转的代码如图：

上述代码就是一个劫持判断来路跳转的代码。跳转到的网站截图如下：

如果一个网站用的是dz论坛程序也是可以被跳转测，只要代码被修改加在了config目录下的config_global.php文件里

另外如果劫持的网站用的是dedecms系统，也是增加了和上述第一张图的代码即可，另外即使网站程序人员把我们的跳转代码进行了清除，使网站正常访问，也没关系哦！这只是单纯的删除恶意跳转的代码，因为根源问题是在程序有漏洞，我们才能上传webshell俗称网站木马后门。这样被跳转的网站就会反复性质的被篡改！清理掉后没过多久就又被篡改了。但是正常情况，被多次清理后我们也会停止对这个网站的劫持，毕竟人都是有脾气的，一但被较真的真追究起来，也容易造成损失。

找出根本问题进行网站漏洞的检查，然后进行劫持

针对网站的程序代码进行了全面的人工安全代码审计以及漏洞检测，找到后门，植入木马，发现dedecms和dz论坛的程序存在getshell和sql注入获取管理员账户和密码，以及上传绕过漏洞。如果网站的服务器的目录安全权限没做好，那么就可以跨目录写入导致这个篡改网站，所以说，网站安全即使做的再牛逼也毫无用处。

下面几个图片就是被上传的网站后门木马代码：