劫持浏览器首页越来越嚣张了

昨晚下班回家有个网友找我,说他的浏览器打开百度总是不停的刷新,让我远程给他看看。

然后就看看,在用户那里用浏览器打开百度果然是不停的刷新,切换到IE内核就正常了。然后用Fiddler抓个包看看,chrome内核下面浏览器打开百度会不停的刷新https://www.baidu.com/”,看网络包的内容,内容是:

百度的https网络包竟然被篡改了, 第一反应是运营商的网络劫持。但是奇怪为什么IE内核不会不停的刷新百度呢,再看看网络,请求https://www.baidu.com/返回:

这个跟之前一样,然后请求http://www.baidu.com/返回:

看明白了,这个网络劫持先篡改https://www.baidu.com/的返回内容,跳转到http://www.baidu.com/,然后再篡改http://www.baidu.com/的内容跳转到http://www.baidu.com/?tn=92724880_hao_pg,真是煞费苦心。

然后对比原版chrome浏览器的表现,奇怪的是chrome浏览器的表现跟IE内核一致,心里揣测是不是网络运营商专门针对我们浏览器。于是把我们浏览器换成chrome浏览器的UA,结果还是一样,看来这里面还有问题:

  • 按理说网络运营商不能直接篡改https加密的网络内容,这个是怎么做到的。
  • 网络运营商一般是通过浏览器UA来区别不同浏览器,为什么我们浏览器换了UA表现还是一样。

先不管了,给用户杀杀木马病毒,一下子杀出500多个,不知道用户平时拿电脑是干嘛的:

20160627223611

然后发现百度的数字证书好奇怪:

20160627223546

一看就是伪造的。

好吧,谜底已经揭晓了。用户电脑中了病毒木马,然后把自己的根证书加到系统的证书库里面,然后签发了伪造的百度证书。通过伪造的百度证书,就可以篡改百度的https网络数据。修改其中的内容跳转到自己的推广渠道。

《劫持浏览器首页越来越嚣张了》有6个想法

  1. 这种劫持我之前也遇到几个,分析后的情况与你这个差不多。

    不确定你说的这个浏览器是什么浏览器,出现这个死循环跳转的问题?

发表评论

电子邮件地址不会被公开。 必填项已用*标注