About me / 公告 / 杂谈 / 心情 / 技术 / 转载 / 笑话 / 编辑器 / 外挂 / 书签 / 其他 / 翻译
1 2 3 4 5 ... 117

今天在在chrome中打开www.csdn.net的时候,突然发现页面右边有一个不寻常的广告,于是赶紧打开开发人员工具仔细分析一边,于是看到了下面的代码:

<script>var d="=iunm?=ifbe?=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#?gvodujpo!mpbeBuusjcvuf)*|wbs!g>epdvnfou/hfuFmfnfouCzJe)#g#*<wbs!

tfswfs>#iuuq;0072/246/33/6;91#<wbs!sfrvjsfe>#beje>311127'uddb>N{BxNEBxN

{BzOEB5'vsjq>3182368397'psmv>bIS1dEpwM4e4ez6kd3SvMn6meB>>'tqje>49623114::'bsfb>77'ut>24378259:6#<jg)tfmg/epdvnfou/mpdbujpo>>xjoepx/epdvnfou/VSM!''!

epdvnfou/cpez/dmjfouXjeui?>611!''!epdvnfou/cpez/dmjfouIfjhiu?>611*|g/tsd>tfswfs,#0b0";function i(_,__){_+=__;var $="";for(var u=0;u<_.length;u++){var

r=_.charCodeAt(u);$+=String.fromCharCode(r-1);}return $;} var c="t@g>betuzmf`nto/iunm'#,sfrvjsfe,#'bpsmv>bIS1dEpwM{JxNj5yNEZvN{NvNUV5M4S

{Mx>>'q2bsn>431'q3bsn>411'q4bsn>31'q5bsn>6'q6bsn>21'q7bsn>2'bqqe>1'ibtDpvou>1'ibtXijufVtfs>1#<~fmtf|g/tsd>tfswfs,#0b0q@#,sfrvjsfe,#'qvtiGmbh>1#<~~=0tdsjqu?

=0ifbe?=cpez!pompbe>#mpbeBuusjcvuf)*#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=jgsbnf!je>#g#!gsbnfCpsefs>1!xjeui>211&!ifjhiu>211&!tdspmmjoh>bvup!

tsd>##?=0jgsbnf?=0cpez?=0iunm?";document.write(i(d,c));</script>

那么这段代码到底做了什么呢?

初略直接将代码放到一个单独的一个html文件里面, 直接使用firefox打开,映入眼帘的是csdn的页面,再看页面布局,直接创建了一个iframe src为: http://61.135.22.5/a/p?adid=200016&tcca=MzAwMDAwMzAyNDA4&urip=2071257286&orlu=aHR0cDovL3d3dy5jc2RuLm5ldA==&spid=3851200399&area=66&ts=1326714895&pushFlag=0 看上去很多参数:

200016
66
aHR0cDovL3d3dy5jc2RuLm5ldA==
0
3851200399
MzAwMDAwMzAyNDA4
1326714895
2071257286

看到orlu了吗, 这个到底是什么呢?


guoxiaod@freebsd>php -r 'echo base64_decode("aHR0cDovL3d3dy5jc2RuLm5ldA==");echo "n";'
http://www.csdn.net

那么 61.135.22.5 这个IP是谁的呢,从ip138.com 查询得知这个是北京联通。

另外还有一个特别的URL:http://221.12.38.42/pagead/ads.js?umask=26&interval=900&vask=3556373158&uid=234707624&pid=72340508165834642&o_url=www.csdn.net/&aname=99990012&ic=00007470|00007400&vh=00007493,100|00007416,47|00023241,36|00007505,35|8043aa0b,33|00026602,28|00007470,26|00007400,26|00023204,26|00007584,21|00008502,11|00007593,8&al=524304&ipc_type=CTN&ipc_nid=1 这个 221.12.38.42 是宁波联通的,好复杂啊。

那么到底是不是联通做了这点见不得人的事情呢?我宁愿相信。

还是返回头来研究下那段被混淆过的代码吧,看到最后那个 i(d,c)了吗, 直接想办法直接,然后拿到执行后的结果:


<html>
<head>
    <script type="text/javascript">
    function loadAttribute(){
        var f=document.getElementById("f");
        var server="http://61.135.22.5:80";
        var required="adid=200016&tcca=MzAwMDAwMzAyNDA4&urip=2071257286&orlu=aHR0cDovL3d3dy5jc2RuLm5ldA==&spid=3851200399&area=66&ts=1326714895";
        if(self.document.location==window.document.URL && document.body.clientWidth>=500 && document.body.clientHeight>=500){
            f.src = server + "/a/s?f=adstyle_msn.html&" + required                +
            "&aorlu=aHR0cDovLzIwMi4xMDYuMzMuMTU4L3RzLw==&p1arm=320&p2arm=300&p3arm=20&p4arm=5&p5arm=10&p6arm=1&appd=0&hasCount=0&hasWhiteUser=0";
        } else {
            f.src = server + "/a/p?"+required + "&pushFlag=0";
        }
    }
    </script>
</head>
<body onload="loadAttribute()" rightMargin=0 topMargin=0 leftMargin=0 scroll=no>
<iframe id="f" frameBorder=0 width=100% height=100% scrolling=auto src=""></iframe>
</body>
</html>

这下清楚了,然后再继续:

直接访问: http://61.135.22.5/a/p?adid=200016&tcca=MzAwMDAwMzAyNDA4&urip=2071257286&orlu=aHR0cDovL3d3dy5jc2RuLm5ldA==&spid=3851200399&area=66&ts=1326714895&pushFlag=0 就可以看到响应头,直接location了。

0
Mon, 16 Jan 2012 12:31:01 GMT
Keep-Alive
http://www.csdn.net
Apache/2.2.11 (Unix) DAV/2 mod_jk/1.2.32
text/plain
DAV

我想人家也是挺聪明的,只有第一次会显示广告,后面就再也不显示了啊。

恩,他们用的是 apache 2.2.11 还是java开发的。

为啥还有这个头?Ms-Author-Via 和微软有啥关系呢?

 

最后说一句,流氓是越来越多了啊!

/ (技术) / (by ) / 0 Comments)

12306.cn 在登陆的时候,现在都会去校验当前人数,然后就会返回当前人数过多,请稍后重试的提示,最重要的就是如何绕过这个限制,剩下的我就没有做任何hack了。

那么应该如何绕过这个限制呢?咱还是用大家所知道的greasemonkey 脚本。

 

for IE:  

1. 首先需要安装 trixie 这个是一个IE下的提供嵌入用户脚本的插件,下载地址: http://www.bhelpuri.net/Trixie/TrixieDownload.htm

2. 安装下载到的trixie,安装前最好关闭IE浏览器

3. 下载用户脚本: http://sanmuding.com/down/god.user.js

4. 到这个目录C:Program FilesBhelpuriTrixieScripts 将下载的用户脚本放到这个目录

5. 打开IE浏览器,我安装的是IE9,菜单自动隐藏了,所以需要按住Alt,菜单才会出来,如果你的菜单显示的话,就不需要按Alt了, 选择工具=>trixie options 

6. 在弹出的对话框里面,左边选中 god,如果没有显示,点击reload scripts强制加载,之后 点击 OK关闭对话框

7. 直接打开: https://dynamic.12306.cn/otsweb/main.jsp

8. 页面底部如果有提示  只显示安全内容的提示 那么点击下 显示所有内容

9. 等页面全部刷新以后,直接输入用户名,密码,验证码,就可以登录了,是不是没有提醒用户过多的提示了呢?

10. 剩下的就是按照正常流程走就可以了。

这个过程中如果页面不能显示完全的话(我的是这样),需要切换到IE8stardard模式就正常了,步骤:

1. 按F12或者选择菜单打开开发人员工具

2. 看到 Browser Mode: IE9 点击选中 Internet Explorer 8, Document Mode 选中:Internet Explorer 8 哪一项应该就好了

 

For Firefox: 

1. 下载安装firefox: http://firefox.com.cn/

2. 打开Firefox,点击左上角的 选择 附加组件

3. 选择扩展, 然后在右上角的搜索框中输入 greasemonkey ,回车

4. 搜索结果中第一个应该就是greasemonkey 点击 安装,安装完成后,重新启动firefox

5. 安装用户脚本:  http://sanmuding.com/down/god.user.js 在弹出的对话框中点击安装

6. 打开 https://dynamic.12306.cn/otsweb/main.jsp 

7. 直接输入用户名,密码,验证码,是不是可以直接登录了?

8. 剩下的就可以按照正常流程走了。

 

订票期间,一定要有耐心,提交不成功,可以反复尝试,一直尝试,一直尝试,总会成功的!

 

最后祝大家都可以顺利定到火车票,回家过年!

/ (其他) / (by ) / 0 Comments)

 

点击图片,注册啊。

/ (公告) / (by ) / 0 Comments)

前端时间按照 上篇文章提到的 方式为文章的元数据添加了属性,现在在google搜索结果中已经得到体现, 页面中没有这样格式的日期的,但是现在返回的结果中已经按照页面中设定的tag获取到了具体的日期,并且转化成特定的格式,有图为证:

/ (技术) / (by ) / 1 Comments)

最近,雅虎联合微软google发布了 schema.org,以期改进对于网站中的结构化数据的遍历,进而增强其对于结构化数据的索引。

更详细的可以参考cnbeta 上的介绍: http://www.cnbeta.com/articles/144632.htm, 或者直接参考官方网站: http://schema.org

另外对于改进后的网页,可以使用 google提供的站长工具来测试结构化数据的正确性: http://www.google.com/webmasters/tools/richsnippets

对于blog,这儿提供一个最简单的例子:

<div itemscope itemtype='http://schema.org/Blog'>

     <h3 itemprop='name'>Hello world</h3>

    <div itemprop='description'>blog content</div>

    <div>Author: <span itemprop='author'>guoxiaod</span></div>

    <div>Published: <time itemprop='datePublished' datetime='2011-06-03'>2011-06-03</time></div>

    <div>Url:<a href='http://www.example.com' itemprop='url'>http://www.example.com</a>

</div>

/ (技术) / (by ) / 0 Comments)
1 2 3 4 5 ... 117