某品牌路由器廣告劫持分析

5 人贊了文章

0x00 前言

連著十來天沒發技術文章了，講真，真的不是我不寫，月初被學校拜託寫一個網站，寫了7天才寫完，加上修補漏洞，結果由於種種原因，網站無法部署，目測是白寫了，超傷心

( ╥﹏╥... )，委屈，都怪我沒維護好伺服器，讓伺服器遭到那麼嚴重的攻擊，給辣么多同學帶來了麻煩，自我檢討ing... (省略1000字)

好像跑題了喵，好啦，接下來進入正題。

0x01 從Web查看異常

這兩天團隊的成員在訪問一些頁面的時候，發現一些頁面有些異常，用同一個設備和瀏覽器在不同網路環境中訪問同一個頁面，在瀏覽器的廣告攔截處顯示的數字不一樣，哎？什麼情況？

這個細節成功引起了我的興趣，好了，開始分析。我在此使用的是瀏覽器廣告攔截插件是[adblock](AdBlock) (這算不算是廣告，有沒有廣告費？)，打開插件內置的「Show all requests」功能，看到如下圖

我看見了一個奇怪的請求，沒錯，正常訪問的時候沒有這段請求，審查網頁源代碼的時候找到了多了的一個js引用

啊嘞嘞，這個引用的是什麼呢？好奇，打開看一下。

呃，最討厭壓縮的代碼了，格式化一下（[附上代碼連接](https://pan.baidu.com/s/1KkgWHMTJs4QZyTbayXmGtg)）

剛拿到代碼時有點興奮，直接就往下看代碼，看了大概1000來行，感覺有些像我以前寫過的一部分代碼，而那個功能的作用就是「帆布指紋識別」。好，從頭看了一下。。。。。。 「fingerprintjs2」？！

呃，其實我第一眼就看到了這個，嗯，沒錯，就是這樣，這個正是一款知名的開源設備指紋採集插件，也就是俗稱的「帆布指紋識別」，即便使用Tor洋蔥瀏覽器，也並不能完全排除被追蹤的可能性，雖然這個識別率按照網上的一些測試結果達到了94%，但這個也是一個很可怕的事情。不過，你以為某品牌路由器就給你了這一個「驚喜」嗎？不，你錯了。這個指紋識別的代碼不過才有1000餘行，而這個引入的文件總行數為4000餘行(這裡我使用了代碼格式化，不同的代碼格式化方式會使行數有些不同，但是這裡我依舊可以認為這個代碼裡面至少還有一部分功能)，我們開始向下繼續審計代碼。

大概在1900行附近，發現一句js引用調用函數

發現這句話不是執行語句，目測像個配置參數，全文搜索一下，

先不管那麼多的網址，先看看這個js裡面有什麼東西。

真的是乾淨整潔，全文就兩個網址，但是這標題，赤裸裸的標題黨？

其實我只是想看看這個鏈接裡面是什麼(很單純的呢，絕對沒有抱有什麼期望呢)，但是我們在電腦的瀏覽器上並沒有看到類似的廣告，證明這個廣告應該是存在一定的規則，並不是什麼時候都有。換成手機版訪問一個頁面再試試。

果然不出所料，這裡面會檢測是否為手機端訪問，之後再把廣告寫到頁面上，大きな変態！

Web端分析到此為止，你以為這就完了嗎？不，這怎麼可能結束，接下來，我們再來翻騰一下固件裡面的問題。

0x02 固件

pass

0x03 結束語

固件都沒分析，結束個毛球

(未完待續)