阿里云 OSS 被用于诈骗网站

90 天前
 lns103

在其它地方看到,转过来,不知道这个的具体原理是什么

这个 jpg 实际上是一个 html ,直接访问是会被拦截的,但是加上后面的参数就可以访问了,希望有大佬来解析一下

诈骗链接: 

https://blj-prod.oss-cn-shenzhen.aliyuncs.com/material/default/default/2bc4767a-9b62-4254-8513-0ae88ca82f14.jpg?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==#sbm=Vpyd1G5oAy

诈骗传单图片:

诈骗“jpg”的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title></title>
		<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0,user-scalable=no,minimal-ui"/>
        <style type="text/css">
            html, body {
                height: 100%;
                margin: 0;
                padding: 0;
            }
            iframe {
                display: block;
                width: 100%;
                height: 100%;
                border: none;
            }
        </style>
    </head>
    <body>
        <script src="https://pro.jsmaodian.top/jsqiantao.js"></script>
    </body>
</html>
4361 次点击
所在节点    信息安全
36 条回复
liaohongxing
90 天前
aliyuncs.com 都被干没了
epicSoldier
90 天前
jsqiantao js 里写了逻辑啊,带了参数会响应一个正常的链接;不带参数响应一个 404 的链接
lns103
90 天前
@epicSoldier 大意了,原来访问请求被拦截也是诈骗网站实现的😂,现在这个链接里的参数似乎已经打不开了,不知道阿里云能不能对这种假 jpg 进行识别处理
webs
90 天前
@liaohongxing this explains.
aispring
90 天前
刚没加参数也能正常返回,可能和文件名+response header 有关吧,content-type:application/xml
kk2syc
90 天前
访问 https://blj-prod.oss-cn-shenzhen.aliyuncs.com/material/default/default/2bc4767a-9b62-4254-8513-0ae88ca82f14.jpg?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==#sbm=Vpyd1G5oAy

1.加载 https://pro.jsmaodian.top/jsqiantao.js

2.访问 api: https://dataoppo.jsmaodian.top/rpa.php?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==
返回 https://tencent.xiaohuacloud2.top/s/gfm50sujq9as ,访问 302 跳转 https://untill.searies807.top/0501-10T-01.html

3.通过
https://dataoppo.jsmaodian.top/title.php?url=https%3A%2F%2Ftencent.xiaohuacloud2.top%2Fs%2Fgfm50sujq9as%3F 设置页面标题,同时创建 html 元素

4.通过步骤 2 的 302 地址引入 https://9h3xtym2bss6p.s3-eu-west-2.amazonaws.com/AA0501kf03.js
```
window._MICHAT = window._MICHAT || function () { (_MICHAT.a = _MICHAT.a || []).push(arguments) };
_MICHAT("cptid", "bb71628407f3151e1c");
_MICHAT("host", "teinz87s.ldhlk.cn");
(function (m, d, q, j, s) {
j = d.createElement(q),s = d.getElementsByTagName(q)[0];
j.async = true;
j.charset ="UTF-8";
j.src = ("https:" == document.location.protocol ? "https://" : "http://") + "teinz87s.ldhlk.cn/Web/js/loader.js";
s.parentNode.insertBefore(j, s);
})(window, document, "script");

```

目前 https://teinz87s.ldhlk.cn/Web/js/loader.js 不可访问,暂时不知道后续
pkoukk
90 天前
这个 jpg 实际上是一个 html
阿里云的 OSS 不会检测 mimeType 的吗
dzdh
90 天前
@pkoukk mime 可以自己自定义。不是根据后缀来的。你可以把一个 exe 设置成 html 渲染。
gorvey
90 天前
用 apifox 请求了下,响应格式是 text/plain ,虽然后缀是.jpg 但是 MIME type 是文本格式,浏览器会按照网页的形式解析

至于参数是这个网页内部的逻辑,不是这个导致 jpg 变成网页

具体怎么如何实现,我猜测是使用了某种方式改变了文件的 mime type ,或者是强制让浏览器接受文本类型
CloudMx
90 天前
你就把这个.jpg 理解是个路由吧,你想设置啥样就啥样,它弄错.jpg 只是增加迷惑性。
luolw1998
90 天前
duzhuo
90 天前
只能举报,qq 群里发的簧片都是扫码跳转各大厂商的 cdn
pkoukk
90 天前
@dzdh 可以根据文件的前 N 个字节进行实际内容判断,对假类型强制修正,这种就会被改成 a.jpg.html
lisongeee
90 天前
看了一下这个链接的 response header 里的 Content-Type 是 application/xml
lns103
90 天前
@CloudMx 这不是最主要的,普通扫描用户也看不到这个 jpg ,主要是浏览器的 url 会一直保留在阿里云 oss 的 domain ,同时加载出伪造聊天界面,导致支付宝、淘宝、抖音的域名白名单拦截失效
lns103
90 天前
这是支付宝扫码,并随便输入兑换码进入的界面,完全没有被拦截
dzdh
90 天前
@pkoukk #13 我是说。阿里云允许且支持这么玩。 对于 OSS 来说,不存在“文件后缀”这个概念,完整的 URI 只是一个 PATH ,这个 PATH 需要返回什么样的 header 头,都是可以自定义的。
NewYear
90 天前
OSS 提供域名都有这个问题。
国内外都存在这个问题,钓鱼钓了很多年了,换个用户名继续搞。

属于是传统手艺了
scyuns
90 天前
还是 iframe 的页面 全是作假的
lisongeee
90 天前
其实阿里云会拦截 html ,但是不拦截 xml

黑产通过使用 xml 格式文件头来模拟 html 来让浏览器把 xml 当做 html 来渲染

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1137419

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX