evol128[Blog]

I am the bone of my code

中关村在线伪造的下载地址分析

事情的起因是我偶然刷了一下页面,发现整个下载点的忙碌情况全变了

刷新前:

刷新后:

这变化课真够大,我稍微看了一下2个下载链接:

http://xiazai.zol.com.cn/down.php?softid=373274&subcatid=22&site=10c&server=10c0

http://xiazai.zol.com.cn/down.php?softid=373274&subcatid=22&site=10&server=101

就换了一个argument,完全是同一台服务器同一个页面(我估计也是同一个文件)……这忽悠一下外行人还行,咱程序员可不是那么好骗的

怀着不求甚解的态度,我又去查了一下它的页面生成代码:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
                        var stat_arr=new Array('吉林网通下载','山西网通下载','河南网通下载','长春网通下载',
'菏泽网通下载','承天网通下载','丽水网通下载','绵阳网通下载','茂名网通下载','大庆网通下载','昆明网通下载','天津网通下载'
);
                        var pic_arr = new Array('a12.gif','a11.gif','a12.gif','a10.gif','a11.gif');
                        for (var i in stat_arr) {
                            var num = Math.ceil(Math.random()*4);
  
                            if(i%6==0){
                                document.write('</ul><ul>');
                            }
                            if(i%2==0){
                                document.write('<li><img src="http://icon.zol-img.com.cn/soft/soft_new/'+
pic_arr[num]+'" /><a hr');document.write('ef="'+'/down.php?softid=373274&subcatid=22&site=10c&server=10c'+
i+'" nofollow>'+stat_arr[i]+'</a></li>');
                            }else{
                                document.write('<li><img src="http://icon.zol-img.com.cn/soft/soft_new/'+
pic_arr[num]+'" /><a hr');document.write('ef="'+'/down.php?softid=373274&subcatid=22&site=10&server=10'+i+
'" nofollow>'+stat_arr[i]+'</a></li>');
                            }
                        }

好吧,随机生成图片+固定格式的伪造地址……这技术含量还可以再低点儿么,至少也给我配置一下dns服务器啊!!!

fun fun javascript zol Comments(6) 2011年6月27日 20:26