记传奇私服浏览器劫持的处置方案

  • A+
所属分类:安全闲碎
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF


0x01 前言

朋友用我的台式电脑玩传奇私服游戏,下载了有几十个传奇私服客户端,传奇老玩家都知道现在的传奇私服客户端和一些辅助外挂等都会带有浏览器劫持程序,这让我们在打开找传奇私服相关网站时都会出现跳转到其它网站的情况,比如在浏览器中输入http://www.zhaosf.com,结果却跳转到了http://www.7422.xyz
记传奇私服浏览器劫持的处置方案

常见的浏览器劫持方式有:hosts文件劫持,快捷方式文件劫持,网络运营商DNS劫持,IE工具栏、组策略、注册表,WMI脚本以及各种驱动类劫持等等。


0x02 问题查找

这里因朋友下载的客户端太多,而且是被劫持了以后才告诉我,所以无法通过技术手段来分析“劫持程序”原理,只能通过手动方式查找其劫持原因。

这里我先用了360杀毒和系统急救箱对C盘、易感染项以及系统关键设置进行了扫描,确定已清除了其它传奇客户端的大部分驱动类劫持程序。
记传奇私服浏览器劫持的处置方案

但经过重复几次查杀并重启系统后发现,虽然驱动类劫持程序杀干净了,但访问网站时还是会跳转而且多次访问找传奇私服的各种网站时发现浏览器的左下角都会出现“正在解析代理”字样
记传奇私服浏览器劫持的处置方案

然后查看我们浏览器代理设置发现“自动检测设置”和“使用自动配置脚本”两项都已经被勾选上了,并指定了一个URL:https://115.231.234.21:9770/rules2.pac
记传奇私服浏览器劫持的处置方案
记传奇私服浏览器劫持的处置方案

0x03 处置方案

我们找到其劫持的原因就是“使用自动配置脚本”,但我们尝试在浏览器里的代理设置取消这个选项时发现怎么都取消不掉,取消后又会自动勾选上,经过后期测试发现是“使用自动配置脚本”选项的对应注册表项权限问题。

注:通过其它电脑查看这个对应的注册表项,默认是具备完全控制权限的,可能是传奇私服客户端的劫持程序在运行时修改了我们的注册表项权限。


找到“使用自动配置脚本”对应注册表位置并给予完全控制权限,删除AutoConfigURL即可,或者可以在浏览器代理设置中取消“使用自动配置脚本”选项,然后重启计算机系统。


Windows7注册表位置:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings

reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings" /v AutoConfigURL /f

记传奇私服浏览器劫持的处置方案

0x04 事后总结

目前大部分传奇私服客户端的驱动劫持程序都可以用360系统急救箱直接清除的。而此次遇到的这个浏览器劫持程序在启动后会自动开启IE浏览器的“自动检测设置”和“使用自动配置脚本”选项,并将其对应Internet Explorer注册表项的完全控制权限给取消掉了,所以我们也就无法直接在浏览器的代理设置处取消“使用自动配置脚本”选项,但只需给予Internet Explorer注册表项的完全控制权限就好了,如果大家以后有遇到此类劫持的时候可以试一试,有兴趣的也可以去深入研究一下。




只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,1120领取安全参考等安全杂志PDF电子版1208领取一份常用高效爆破字典还在等什么?

记传奇私服浏览器劫持的处置方案

本文始发于微信公众号(潇湘信安):记传奇私服浏览器劫持的处置方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: