关于那个病毒营销微信QQ域名的m4a跳转到其他域名

kaleok

关于那个病毒营销微信QQ域名的m4a跳转到其他域名的技术栈大概整理清楚了

首先技术点不是在 https://succk.oss-cn-chengdu.aliyuncs.com/qq[/code]
不是在这一句，这一句最后一行就是被base64转码回来的明码远程js地址。这个js里面也是加密的，但大概看了下，js里面主要就是判断usergent，然后js里面有跳转地址

1. &window['location']xxx('https://su'+'cck.oss-ac'+xxx+xxx+'m/520.html'+window['location']xxx windowxxx('https://ja'+'vaboy.onli'+'ne/t'+xxx

复制代码

起码可以看到是跳转到succk.oss-ac+加密参数+加密参数+m/520.html
然后下面还有地址javaboy.onlinet+其他的鬼东西。

上面都不是重点。
重点是，https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a?kf=bx8rjq4r854ak8clokshgk8xsi6z6yw2jntth3nfsnasz5l3nidu9bh2fljyavww96
这其实是一个m4a音频文件的静态地址。
如果没有后面的kf=xxx部分。那就是个静态文件地址。https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a
这样的地址会有服务器引擎，类似nginx,apache这样的引擎直接硬盘读取然后发送给浏览器的。

我们首先看一下这个m4a文件实际代码


我测试经过http协议读取这个文件，浏览器会被正常解析为m4a,当然你本地m4a文件直接浏览器打开，也一样是m4a
也就是浏览器会理解这个文件是个音频文件，会内部加载播放器播放。而m4a文件里面的html代码是不会执行的



注意看右侧的代码，是浏览器自己生成的播放器代码

那问题就是服务器发送给浏览器之前，如果nginx或者apache这样的引擎声明这就是一个html文件呢？
也就是类似nginx引擎里面是有mime.types配置文件的
里面正常的文件类型是
audio/x-m4a                                      m4a;
如果改成
text/html                                      m4a;

注意看右侧的html代码，已经是m4a里面的真实代码，当然就可以加js来控制了。比如<html lang="en" hidden>
比如这个hidden就是原版病毒js控制的隐藏整个document根节点。然后远程js来跳转到新的网址等等。

然后我们再来说一下.m4a?kf=bx8rjq4r854ak8clokshgk8xsi6z6yw2jntth3nfsnasz5l3nidu9bh2fljyavww96

后面加参数的意思。意思就是nginx或者apache这样的引擎发现是m4a的文件，不会直接发给浏览器，而是根据规则直接转发到其他逻辑语言进行鉴权，比如lua，php等。
http://www.manongjc.com/detail/18-ybntokjzliuzngd.html
https://bobjin.com/blog/view/8533d98a8c1888bb4e9dae3abec6075a.html
这样做的目的只是防止被盗链，一般都是会加上超时验证的。
但是上面说了一大片，其实鉴权的事情是另外的，可以看到这个病毒m4a地址后面的鉴权参数是长期有效的，你即使删除后面的参数，直接访问
https://static.gameplus.qq.com//user/intro_audio/a37539b6639da55ebb0da43af73f57a9_189390032432_5.m4a
也是长期有效的，也就是说腾讯的这个鉴权机制根本就没有写好，根本没有超时的判断

那么问题就在
nginx被声明了
text/html                                      m4a;

我尝试删除mime.types里面的这条配置或者改成其他的比如text/aaa                                      m4a;

由于浏览器无**确判断这个文件类型，都会直接下载该文件。

也就是只有强制声明m4a为text/html，浏览器才会用html引擎来解析m4a里面的html代码


所以：两种可能。一种就是腾讯的程序员没有很好的处理这个m4a后缀的mime类型声明。（我觉得不会，因为默认都已经声明好了）
另外一种可能，就是真的有程序员人工声明了text/html                                      m4a;这样的后缀

最后就是，这个腾讯的域名是gameplus.qq.com
就是腾讯游戏社区，注册后上传可以图片，视频，音频，关键是客户端操作都是直接调取话筒录音，没有选择录音文件的步骤。
所以要想把一个伪造的录音文件上传上去，还要抓包，分析接口，然后模拟提交才行。
要么就是有内部人员参与了，直接FTP上传就完事了

所以这些大型企业由于利益问题，个别程序员是真的大胆，参与了外部的一些非法获利呀。

其实，我正在跟踪一个很奇怪的百度地址
cpu.baidu.com

这样的一个垃圾站按道理百度官方是不会弄的。跟踪很久了，收录直线上涨
你可以访问https://cpu.baidu.com/robots.txt
看看他屏蔽主页，但是却开放了一个/pc/1022/275122716/
目录给所有搜索引擎收录。

https://tieba.baidu.com/p/7035940219

然后也被客户投诉。。完全就是采集的数据，但不进入百度搜索引擎，就是要独立搞个垃圾站来抢占流量。。。

所以我估计也是内部程序员为了赚外快搞的。

汤家凤

我先给大佬点赞

dole

奇​怪​的​黑​产​知​识​增​加​了

tkn

太长了， 大佬能否来句总结。

xiaobaiyang

​黑​产​知​识奇​怪​的​增​加​了

htazq

给大佬顶贴

yooooo

满满的干货，感谢大佬分享

Zeros

虽然看着很懵逼，但是顶下

腾讯公司

给大佬顶贴，关于 cpu.baidu.com 在网上找到一点信息，貌似就是百度官方自己做的？
从 https://cpu-admin.baidu.com/login.html 这里看好像这个项目叫 内容联盟 ，点右面的忘记密码发现账户是和百度营销通用的。顺便，这里有一篇知乎的文章，https://www.zhihu.com/question/67708499