某钓鱼网页试分析

（以下相关地址为了防止误点击，均将协议改为 hxxp。）

源：hxxp://suo.im/4CHBQJ

一次跳转+页面生成

这个短网址 301 跳转到了 Link 1

这块大概是一个比较常见的跳转利用。

遂 curl 之。后一部分是被注释的一段JSON，什么“贪玩蓝月”什么的。前一段是 <scripT/src=//huosaiji.cn/c/app></scripT>。

遂再 curl 之。这个 js 的作用是生成一个网页。网页似乎用了 RC4 加密外加 base64 编码。解密和解码的函数名字很清楚（没做混淆和压缩什么的哈）。

书接上回。上回我们说过有一个生成网页（document.write(decodeURIComponent(...))）的 js。这个生成的网页，又是一个document.write(decodeURIComponent(...))，郁闷。

没办法，再来一次吧。这回生成的是一个正经的钓鱼页面了。源码见此。

简单分析一下，大概表单内容会提交到这里。

提交成功或失败之后会跳转，然后返回一张有趣的图片。

又试了一次。好像这个生成的第二个网页，还有另一种情况：会获取hxxp://huosaiji.cn/c/sb.php。

之后似乎又是一个仿登录页面什么的...不过这个页面会检查 User-Agent，让 Windows 和 Mac 跳转走。

最近频繁地看到用户账号被盗。其实昨天还看到了一个，但是那个几乎没什么套路，略过不谈。（不过说一下，那个页面托管在腾讯云23333）

不要随意在网页中输入账号和密码！