我顺着短链追到了源头，我把这种“伪装成视频播放”的链路追完了：真正的钩子在第二次跳转

我顺着短链追到了源头，我把这种“伪装成视频播放”的链路追完了：真正的钩子在第二次跳转

引子 我点开一个看起来像视频播放页的短链，页面直接弹出一个播放器界面——但视频一直转圈，播放按钮反而成了“继续”的诱饵。好奇心驱使我沿着这条跳转链一路追查，结果发现整个伪装的关键不在第一跳，而是在第二次跳转里藏着真正的钩子。下面把这次追踪的思路、手法和结论分享出来，便于判断和防护类似套路。

总体链路概览 表象：短链 → 中间短页（伪播放器界面） → 第二跳（带参数/脚本的中转页或广告域） → 最终落地/广告/恶意下载 关键点：第一跳通常是短链服务或CDN，用来隐藏真实链；第二跳负责收集指纹、拼接参数、判断环境并决定后续行为，所以是真正触发“目的地”的地方。

工具与方法（实战清单）

• 浏览器开发者工具（Network、Sources、Preserve log）——查看所有请求、响应头、脚本。
• curl / wget（不自动跟随重定向）——逐跳查看 Location 头。 示例：curl -I 'https://短链.example' // 查看响应头中的 Location 然后对 Location 值继续 curl -I 查看下一跳。
• Python requests（allowredirects=False）用于自动化抓取每次 Location： r = requests.get(url, allowredirects=False); print(r.status_code, r.headers.get('Location'))
• headless 浏览器（Puppeteer 或 Playwright）——在关闭/开启 JS 情况下分别抓包，观察 JS 执行后产生的跳转或动态请求。
• 静态分析工具（grep、jq）与在线检查（VirusTotal、URLScan）——快速判断域名历史与风险。

如何识别“伪装成视频播放”的套路

• 页面结构：伪视频页通常只有灰色播放器区域、模仿控制条和一个“播放”按钮，实际按钮绑定 JS 事件而不是视频资源。
• 资源请求：Network 面板会发现并没有真实的视频流（没有 .mp4 / .m3u8 / Range 请求），而是大量到第三方域的脚本或 img 请求。
• 延迟跳转：点击“播放”后可能出现短暂的广告位加载、第三方脚本执行或 iframe 注入，然后页面通过 JS 或 meta refresh 跳转到第二跳域。
• 视觉迷惑：UI 做得像正规站点以降低怀疑，实际上很多元素是静态图片或 SVG。

为什么“真正的钩子在第二次跳转”

• 参数拼接：第二跳经常会收到 referrer、ua、时间戳、短链 ID，然后生成一个带有 clickid/affid 的最终落地 URL，用于广告计费或分流恶意内容。
• 设备指纹与风控：第二跳页会执行指纹脚本（canvas、webgl、fonts、plugins），决定是否下发恶意 payload 或只展示广告。
• 环境探测：如果检测到分析环境（headless、代理、调试），会返回“安全”页面；只有在真实用户环境下才触发进一步跳转。
• 延迟执行与加密：第二跳常用 eval、base64、动态生成表单自动提交或通过 iframe postMessage 去驱动 top.location，实现难以一次性捕获的行为。

实际追链流程（简化） 1) 不自动跟随重定向抓第一个响应头：curl -I 短链URL，记录 Location。 2) 对第一跳的 Location 重复执行，直到遇到返回 200 的页面。 3) 如果页面是 200 且含有脚本但没有视频流，下载页面源代码：curl 页面URL | sed -n '1,200p' 搜索 meta refresh、location、eval、atob。 4) 在浏览器中打开该页面并打开 Network（Preserve log），点击播放，观察随后发出的所有请求和被重定向的第二跳。 5) 对第二跳抓包，查看请求参数、Set-Cookie、返回脚本；将其中可疑脚本另存本地在沙箱环境中逐步执行（或在 devtools 下断点调试）。

常见的第二跳钩子类型（案例）

• iframe 注入：第二跳生成隐藏 iframe 指向广告域，广告域再通过 top.location 跳转。
• 表单自动提交：第二跳构造一个 POST 表单并自动提交到目标域，参数里包含加密 clickid。
• Eval 加密脚本：第二跳返回的脚本用 base64/hex/xor 混淆，执行后得到最终跳转 URL。
• 服务器决策：第二跳会先向后端验证是否给出真实落地，一旦通过便返回 302 到最终地址。

检测与防护建议（可落地）

• 在不信任的短链上禁用 JS/阻断第三方请求后先观察页面结构；若界面是假播放器且无视频流，不要继续交互。
• 使用 uBlock Origin、NoScript 和广告/跟踪拦截器拦截可疑脚本与第三方域名。
• 对外公开的检测：把短链提交到 URLScan 或 VirusTotal 检查历史跳转链。
• 安全演练：在隔离的虚拟机或沙箱里用 headless 浏览器记录跳转链，再用 curl 或脚本逐跳解析，这样既安全又可复现。
• 对网站维护者：在自己的站点上对来自短链或第三方载入的外部脚本增加严格 CSP 和 X-Frame-Options，避免被用作中转。

结语 这类伪装成视频的短链并不是单步欺骗，而是通过分层的跳转与脚本决策把真正的行为隐藏在第二跳甚至更深的环节。单靠第一眼的 Location 常常看不出端倪，按我上面的逐跳分析法你能还原出完整链路并定位“钩子”所在。碰到可疑短链时，先慢下来，逐级检查请求与脚本，往往能在第二跳处找到决定性的线索。

继续浏览有关 顺着短链到了 的文章