京东的"内鬼级"劫持

gy6221

2018-11-26 01:22:25 +08:00

这看起来更像是运营商干的

ysc3839

2018-11-26 01:24:45 +08:00

“只在 http 会起作用”就无法排除中间人攻击的可能性了。

miyuki

2018-11-26 01:32:39 +08:00

@gy6221

可以在任何一台机器上(国内国外)验证

这个是京东的 CDN 节点，而且 https 访问一下会抛出 *.jd.com 的证书

miyuki

2018-11-26 01:34:09 +08:00

@ysc3839

的确无法排除，虽然能在任何地方的机器上复现

zbinlin

2018-11-26 02:07:18 +08:00

查了下：

```
whois 182.131.4.1
```

有个 `Data Communication Bureau Of Sichuan Province` 地址，然后百度了下，有惊喜 /dog

jimchen9999

2018-11-26 02:41:46 +08:00

英国伦敦成功复现

sutra

2018-11-26 03:04:25 +08:00

182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的

sutra

2018-11-26 03:07:49 +08:00

你换成别的 IP，比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。

mytsing520

2018-11-26 04:50:27 +08:00

Google Cloud 香港，复现

liuyanjun0826

2018-11-26 04:57:03 +08:00

login as: root
root@207.148.19.143's password:
Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~#

New Jersey Vultr

ericbize

2018-11-26 04:59:24 +08:00

@liuyanjun0826 ip 暴露了
line 2

liuyanjun0826

2018-11-26 05:02:26 +08:00

@ericbize 对阿，就是为了验证是 New Jersey Vultr，有什么问题？

liuyanjun0826

2018-11-26 05:10:43 +08:00

利益相关，京东员工，警告楼主不要造谣

zbinlin

2018-11-26 05:26:15 +08:00

@liuyanjun0826 hehe，这个 UA 被“你们”加入白名单了吧。切实，直接用这个 UA 已经无法复现了，不过，随便改下 UA 里的字符，例如改下 chrome 的版本号，就可以重新重现了。

PS：这个帖子可能已经被有心人“看到了”

liuyanjun0826

2018-11-26 05:34:10 +08:00

@zbinlin 与我联系，我来处理

johnnie502

2018-11-26 06:03:48 +08:00

美国 comcast 还是能复现

mytsing520

2018-11-26 06:23:31 +08:00

Google Cloud 台湾彰化截图
这一来呢还来了两次。。

顺带把截图保存时间也放上来，免得被说成是 PS：

有些人呢是真的不识好人心。。

Sweden

2018-11-26 06:23:59 +08:00

欧洲 telenet 成功复现

lihongming

2018-11-26 06:33:18 +08:00

人在加拿大，现在仍可复现 @刘强东

Suzutan

2018-11-26 07:41:00 +08:00

![Screenshot_20181126-073854.png]( https://i.loli.net/2018/11/26/5bfb32b7325cd.png)

四川电信复现

![Screenshot_20181126-073822.png]( https://i.loli.net/2018/11/26/5bfb32b735e46.png)

美国洛杉矶，美国 Choopa，复现