这是一个创建于 4323 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 loveshouhu 2013-12-12 10:39:23 +08:00 确实好神奇的说。。。 |
 | 2 Moods 2013-12-12 10:40:35 +08:00  1 神奇的不是地方 |
 | 3 wangtao OP 好像只有 Chrome 与 Firefox 有效。。 |
 | 4 eightii 2013-12-12 10:44:41 +08:00 哟,真的挺神奇... |
 | 5 coosir 2013-12-12 10:44:42 +08:00 怎么做到的? |
 | 6 manhere 2013-12-12 10:49:05 +08:00 view-source:www.11413.com.cn/pinpai.php?tokenid=1 |
 | 7 GitFree 肯定是百度做的特殊处理 |
 | 8 booksmith 2013-12-12 10:51:02 +08:00 1 应该是这样的吧 window.opener.location.href='http://www.baidu.com' |
 | 9 ety001 2013-12-12 10:57:52 +08:00 |
 | 10 bigfei 2013-12-12 11:13:20 +08:00 解密到最后: var _$ = ["www.baidu.com", "www.sogou.com", "www.so.com", "www.google.com.hk", "www.yahoo", "bing.com", "www.youdao.com", "www.soso.com", "360.cn", "11413.com.cn", "http://www.11413.com.cn/qeedoo/index.html", "", "Microsoft Internet Explorer"]; (function () { var qeedoo0 = window["document"]["referrer"]; var qeedoo1 = window["document"]["URL"]; qeedoo0 = qeedoo0["toLowerCase"](); qeedoo1 = qeedoo1["toLowerCase"](); if (qeedoo0["indexOf"](_$[0]) != -0x1 || qeedoo0["indexOf"](_$[1]) != -0x1 || qeedoo0["indexOf"](_$[2]) != -0x1 || qeedoo0["indexOf"](_$[3]) != -0x1 || qeedoo0["indexOf"](_$[4]) != -0x1 || qeedoo0["indexOf"](_$[5]) != -0x1 || qeedoo0["indexOf"](_$[6]) != -0x1 || qeedoo0["indexOf"](_$[7]) != -0x1 || qeedoo0["indexOf"](_$[8]) != -0x1) { var qeedoo2 = qeedoo0["replace"](/baidu.com\/s/, _$[9]); qeedoo2 = _$[10]; if (qeedoo2 != null && qeedoo2 != _$[11]) { if (navigator["appName"] == _$[12]) {} else { window["opener"]["location"]["href"] = qeedoo2 } } } })() |
 | 11 clippit 2013-12-12 11:16:43 +08:00 访问那个第一个链接的时候,会请求一个 www.11413.com.cn/pinpai.php?tokenid=1 这个JS经过了多层加密混淆,解开以后是这样的 https://gist.github.com/clippit/7922700 虽然还是挺混乱,但是可以看出使用了 window.opener.location.href 所以这个应该是属于恶意跳转吧,作弊行为 |
 | 13 Wy4q3489O1z996QO 2013-12-12 11:24:04 +08:00 @clippit 求问怎么解密这样的js代码 |
 | 14 ccidcce32167 2013-12-12 11:25:07 +08:00 确实很诡异 我从console抓不到任何跳转的信息 |
 | 15 jjplay 2013-12-12 11:30:10 +08:00 @romotc http://darbycrash.altervista.org/PHP/unwise.php.txt 然后是 js eval packed解密 |
| 16 ccidcce32167 2013-12-12 11:37:11 +08:00 @jjplay 为何我用鼠标右键点在新标签页打开不会触发跳转? 而且我用google搜索打开也不会 为何就百度会跳? |
| 17 jjplay 2013-12-12 11:40:58 +08:00 @ccidcce32167 因为 pinpai.php 是PHP文件,可以判断来路,他应该是在PHP里屏蔽了谷歌来路 |
 | 18 luikore 2013-12-12 11:46:36 +08:00 1 请看 https://developer.mozilla.org/en-US/docs/Web/API/window.postMessage?redirectlocale=en-US&redirectslug=DOM%2Fwindow.postMessage , 跨窗口跨域通信, 检查 event.origin 就可以决定允许和不允许哪个域发过来的消息. |
| 19 clippit 2013-12-12 12:19:39 +08:00 4 @romotc 一个很简单的手动办法,就是把 eval(function(...) {...} (...)) 去掉最开始的eval,给结尾加上.toString(),整个在控制台里执行一下,就得到解密后的字符串了。果是多层加密,多操作几次就可以了。 |
| 20 ccidcce32167 2013-12-12 15:31:44 +08:00 @clippit 你好厉害 这样都行 |
 | 21 txlty 2013-12-12 16:47:55 +08:00 “安全联盟提醒您:该页面可能已被非法篡改!” 可怜的网站,被楼主黑暗森林攻击了。 |
 | 22 loryyang 2013-12-12 16:50:30 +08:00 好像已经不行了,是被百度干掉了? |
 | 23 kalman03 2013-12-12 17:39:55 +08:00 这个叫爬虫劫持技术,你可以google下。 |
 | 24 9hills 2013-12-12 18:14:45 +08:00 被百度标成风险了。。 |
 | 25 21grams 2013-12-12 18:58:15 +08:00 哪里神奇了,没有哪个页面跳转了啊? |
 | 26 leecade 2013-12-12 19:38:43 +08:00 opener |
 | 27 vibbow 2013-12-14 06:36:22 +08:00 FF下没效果? |
Select Language