Pages

2/10/2011

URL Redirection Using Google Docs!

พอดีวันนี้มีคนเอาลิงค์มาให้ลองกดเล่น บอกว่ามันเป็นไวรัส ช่วยดูหน่อย

เราก็เป็นพวกชอบกดlinkประเภทนี้ซะด้วย เลยกดเข้าไป

http://docs.google.com/uc?id=0B-L8MjGJeo1xZDZjMWY5MTUtOWRmYy00ZmEzLWEwMDYtYWVlZGZiZWQzN2Vi
URL หน้าตาธรรมดามาก  อย่างกับเป็นเอกสารตัวนึงที่เอาไว้ใน Google Docs

โดยส่วนตัวแล้วก็ใช้google docsเป็นประจำอยู่แล้ว  ก็เลยคิดไม่ออกเลยว่าจะโดนattackได้ยังไง
เพราะว่าบนนั้นก็น่าจะอัพโหลดขึ้นไปได้แต่เอกสารธรรมดา มันจะมีอะไรได้

ปรากฎว่าพอกดไปแล้ว URL เปลี่ยนเองได้ไปสองที
แล้วก็มาปรากฎว่าอยู่หน้าของคนร้ายแล้ว แถมยังมีบังคับให้โหลดไฟล์ exe ไปเรียบร้อย(โดยอัตโนมัติ)




exeไฟล์เนี่ย ไม่ต้องสงสัยเลย คงมีอะไรแน่ๆ

แต่ที่สงสัยคือ  จาก Google Docs มันไปตรงนั้นได้ไงฟะ

ความจริงถ้าจะทดสอบดีๆ คงต้องตั้งproxyแล้วตรวจhttp req/resp แต่เราขี้เกียจเลยของ่ายๆเลยละกัน
ก็เลยใช้ lynx ลองเข้าเวปนั้นดู
ได้ผลแบบนี้ออกมา
มันเป็นไฟล์ SWF (Adobe Flash) อยู่
ไอ้ตัวนี้นี่เองที่เป็นตัวredirectเข้าไปหน้าผู้ร้าย


แล้วก็ว่า... ถ้างั้น Google Docsมันยอมให้host fileประเภทนี้เหรอ
ก็เลยต้องลองอัพโหลดขึ้นไปบน google docs



ปรากฎว่าอัพโหลดขึ้นไปได้จริงๆด้วยแฮะ
แถมให้ดาวน์โหลดลงมาก็ได้
URLของหน้านี้คือ https://docs.google.com/leaf?id=0B1w_20m1HKvIZmJhNzE3YTUtNTZkZS00ZjIyLThkMDctODQ4OGU0MGI3NWRi&hl=en

มีคำว่าleafนำหน้า  เลยออกมาเป็นหน้า page แบบนี้

คราวนี้ลองเอา URL จากตรงปุ่มกดโหลดดูบ้าง
ได้เป็น
https://docs.google.com/uc?id=0B1w_20m1HKvIZmJhNzE3YTUtNTZkZS00ZjIyLThkMDctODQ4OGU0MGI3NWRi&export=download&hl=en

เหมือนจะใช้ได้  แต่พอลองเอาไปใช้จริงๆ ดันกลายเป็นดาวน์โหลดตัว swf ไฟล์นั้นไปซะงั้น มันไม่ได้เล่นไฟล์แฟลชนั้น พอไม่ได้เล่นไฟล์แฟลช โหลดมามันก็เป็นไฟล์ขยะๆไฟล์นึงเอง

อย่างงี้เลยลองเปลี่ยนเอาที่เขียนว่า &export=download ออกจาก URL ดู
เหลือเป็นแค่
https://docs.google.com/uc?id=0B1w_20m1HKvIZmJhNzE3YTUtNTZkZS00ZjIyLThkMDctODQ4OGU0MGI3NWRi&hl=en
แล้วมันก็เวิร์คแฮะ

ใครเข้าไปก็จะเห็นว่ามันเล่นไฟล์แฟลชอันนั้น แล้วก็พาไปเข้าหน้าอันตรายนั่นแล้ว
แล้วถ้าสังเกตดูดีๆ  URL อันล่าสุดเราหน้าตาคล้ายกับอันแรกเลย ฮ่าๆๆ

อ้าว งี้ก็สาวถึงตัวคนโพสต์คนแรกได้สิ
ใส่เป็น leaf? เข้าไป กลายเป็นได้ชื่อคนโพสต์คนร้ายซะงั้น

เอาเป็นว่าแค่นี้ก่อนดีกว่า เดี๋ยวโดนย้อนกลับคืน :D
สรุปวันนี้

  1. Google Docs โฮสต์ไฟล์flash swf ได้
  2. flash swf นำไปสู่หน้าเวปอันตรายได้
  3. ถ้ามีURLของfileจาก google docs อยู่ เอามาทำให้เห็นชื่อคนโพสต์ได้
  4. อย่ากดลิงค์ที่มันแปลกๆ
  5. ถ้ามี exe ให้โหลดก็กดไม่โหลดไป  ถ้าโหลดแล้วก็กดลบทิ้ง ไม่ต้องไปเปิด
** หมายเหตุ
 - ผมลบไฟล์บนgoogle docsผมไปแล้ว  อยากเล่นก็ลองไปทำเองจากต้นฉบับเอานะ :)
 - แจ้งทางgoogleไปแล้วว่าไฟล์ของคนๆนั้นมันอันตราย ให้จัดการลบออกจากระบบด้วย อันนี้ไม่รู้ว่าจะตอบกลับมาว่าไง

No comments:

Post a Comment