# 百度统计js被劫持用来DDOS Github 0x00 背景 ------- * * * 今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗: ``` malicious javascript detected on this domain ``` ![enter image description here](https://superkieran.github.io/wooyun-img/b574faa3173f58b7bc9d5beb03f6ccf37c68f060.jpg) 我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。 0x01 细节 ------- * * * 之后立刻发现弹窗的js居然是从github加载的: ![enter image description here](https://superkieran.github.io/wooyun-img/74e15e0b19b6f40eb95a3876f7e6d28d0fb2eb87.jpg) 可是为什么乌云会从github加载js呢,并且还是从greatfire和纽约时报镜像加载。 第一反应是页面有xss或者js被劫持了,找了半天终于找到了,居然是 ``` hm.baidu.com/h.js ``` 这个js的确被乌云加载了没错,这是百度统计的js代码,打开后里面是一个简单加密后的js,eval了一串编码后的内容,随便找了个在线解密看了下,发现如下内容: ``` document.write("