阿里云 OSS 被用于诈骗网站

2025 年 6 月 9 日
 lns103

在其它地方看到,转过来,不知道这个的具体原理是什么

这个 jpg 实际上是一个 html ,直接访问是会被拦截的,但是加上后面的参数就可以访问了,希望有大佬来解析一下

诈骗链接: 

https://blj-prod.oss-cn-shenzhen.aliyuncs.com/material/default/default/2bc4767a-9b62-4254-8513-0ae88ca82f14.jpg?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==#sbm=Vpyd1G5oAy

诈骗传单图片:

诈骗“jpg”的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
    <head>
        <title></title>
		<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0,user-scalable=no,minimal-ui"/>
        <style type="text/css">
            html, body {
                height: 100%;
                margin: 0;
                padding: 0;
            }
            iframe {
                display: block;
                width: 100%;
                height: 100%;
                border: none;
            }
        </style>
    </head>
    <body>
        <script src="https://pro.jsmaodian.top/jsqiantao.js"></script>
    </body>
</html>
5170 次点击
所在节点    信息安全
36 条回复
liaohongxing
2025 年 6 月 9 日
aliyuncs.com 都被干没了
Rainwater
2025 年 6 月 9 日
jsqiantao js 里写了逻辑啊,带了参数会响应一个正常的链接;不带参数响应一个 404 的链接
lns103
2025 年 6 月 9 日
@epicSoldier 大意了,原来访问请求被拦截也是诈骗网站实现的😂,现在这个链接里的参数似乎已经打不开了,不知道阿里云能不能对这种假 jpg 进行识别处理
webs
2025 年 6 月 9 日
@liaohongxing this explains.
aispring
2025 年 6 月 9 日
刚没加参数也能正常返回,可能和文件名+response header 有关吧,content-type:application/xml
v1
2025 年 6 月 9 日
访问 https://blj-prod.oss-cn-shenzhen.aliyuncs.com/material/default/default/2bc4767a-9b62-4254-8513-0ae88ca82f14.jpg?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==#sbm=Vpyd1G5oAy

1.加载 https://pro.jsmaodian.top/jsqiantao.js

2.访问 api: https://dataoppo.jsmaodian.top/rpa.php?data=YpAOcbLP7rTBLAc/gPxCiKaLASa17m2B3zg1FebfUY47LMM/nteukdxJiO1dRvjWHSimrQTvgE2Yg4DwctTe6w==
返回 https://tencent.xiaohuacloud2.top/s/gfm50sujq9as ,访问 302 跳转 https://untill.searies807.top/0501-10T-01.html

3.通过
https://dataoppo.jsmaodian.top/title.php?url=https%3A%2F%2Ftencent.xiaohuacloud2.top%2Fs%2Fgfm50sujq9as%3F 设置页面标题,同时创建 html 元素

4.通过步骤 2 的 302 地址引入 https://9h3xtym2bss6p.s3-eu-west-2.amazonaws.com/AA0501kf03.js
```
window._MICHAT = window._MICHAT || function () { (_MICHAT.a = _MICHAT.a || []).push(arguments) };
_MICHAT("cptid", "bb71628407f3151e1c");
_MICHAT("host", "teinz87s.ldhlk.cn");
(function (m, d, q, j, s) {
j = d.createElement(q),s = d.getElementsByTagName(q)[0];
j.async = true;
j.charset ="UTF-8";
j.src = ("https:" == document.location.protocol ? "https://" : "http://") + "teinz87s.ldhlk.cn/Web/js/loader.js";
s.parentNode.insertBefore(j, s);
})(window, document, "script");

```

目前 https://teinz87s.ldhlk.cn/Web/js/loader.js 不可访问,暂时不知道后续
pkoukk
2025 年 6 月 9 日
这个 jpg 实际上是一个 html
阿里云的 OSS 不会检测 mimeType 的吗
dzdh
2025 年 6 月 9 日
@pkoukk mime 可以自己自定义。不是根据后缀来的。你可以把一个 exe 设置成 html 渲染。
gorvey
2025 年 6 月 9 日
用 apifox 请求了下,响应格式是 text/plain ,虽然后缀是.jpg 但是 MIME type 是文本格式,浏览器会按照网页的形式解析

至于参数是这个网页内部的逻辑,不是这个导致 jpg 变成网页

具体怎么如何实现,我猜测是使用了某种方式改变了文件的 mime type ,或者是强制让浏览器接受文本类型
CloudMx
2025 年 6 月 9 日
你就把这个.jpg 理解是个路由吧,你想设置啥样就啥样,它弄错.jpg 只是增加迷惑性。
luolw1998
2025 年 6 月 9 日
duzhuo
2025 年 6 月 9 日
只能举报,qq 群里发的簧片都是扫码跳转各大厂商的 cdn
pkoukk
2025 年 6 月 9 日
@dzdh 可以根据文件的前 N 个字节进行实际内容判断,对假类型强制修正,这种就会被改成 a.jpg.html
lisongeee
2025 年 6 月 9 日
看了一下这个链接的 response header 里的 Content-Type 是 application/xml
lns103
2025 年 6 月 9 日
@CloudMx 这不是最主要的,普通扫描用户也看不到这个 jpg ,主要是浏览器的 url 会一直保留在阿里云 oss 的 domain ,同时加载出伪造聊天界面,导致支付宝、淘宝、抖音的域名白名单拦截失效
lns103
2025 年 6 月 9 日
这是支付宝扫码,并随便输入兑换码进入的界面,完全没有被拦截
dzdh
2025 年 6 月 9 日
@pkoukk #13 我是说。阿里云允许且支持这么玩。 对于 OSS 来说,不存在“文件后缀”这个概念,完整的 URI 只是一个 PATH ,这个 PATH 需要返回什么样的 header 头,都是可以自定义的。
NewYear
2025 年 6 月 9 日
OSS 提供域名都有这个问题。
国内外都存在这个问题,钓鱼钓了很多年了,换个用户名继续搞。

属于是传统手艺了
scyuns
2025 年 6 月 9 日
还是 iframe 的页面 全是作假的
lisongeee
2025 年 6 月 9 日
其实阿里云会拦截 html ,但是不拦截 xml

黑产通过使用 xml 格式文件头来模拟 html 来让浏览器把 xml 当做 html 来渲染

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/1137419

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX