瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » 网马解密大讲堂——网马解密中级篇(Document.write篇)
networkedition - 2009-5-18 9:21:00
卡卡讲堂之网马解密 初级篇
卡卡讲堂之网马解密 中级篇
卡卡讲堂之网马解密 高级篇(swf网马解密)
卡卡讲堂之网马解密 高级篇(pdf网马解密)
1.Freshow解密工具的详细用法
2.网马解密之——Eval篇
3.网马解密之——Document.write篇
4.网马解密之——Alpha2篇
5.网马解密之——Shellcode篇
6.网马解密之——Base64篇
7.网马解密之——US-ASCII篇
8.浅谈eval解密之——工具篇


引用:

一.Document.write 函数简介:
在Microsoft JScript 提供了两种方式来在浏览器中直接显示数据。可以使用write( )writeln( ),这两个函数是document 对象的方法。也可以在浏览器中以表格的方式显示信息,以及用警告、提示和确认消息框来显示信息。

使用document.write( ) 和 document.writeln( )显示信息最常用的方式是 document 对象的 write( ) 方法。该方法用一个字符串作为其参数,并在浏览器中显示。该字符串可以是普通文本或 HTML。
字符串可以用单引号或双引号引起来。这样可以引用那些包含引号或撇号的内容。

注:Document.write函数是将字符串转换为Html代码,里面必须有HTML脚本标签,脚本才可以执行,否则,将会被当作字符串输出在网页上




引用:

二.Document.write函数实例
例1:

[复制到剪贴板]
CODE:
<script>
document.write("hell world")
</script>


将此段代码粘贴至记事本,保存为htm格式直接运行打开。这段代码的执行结果实际上是将hell world 在网页显示出来。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
networkedition - 2009-5-18 9:22:00
例2:

[复制到剪贴板]
CODE:

<script>
document.write("<iframe src=http://www.rising.com.cn></iframe>")
</script>




引用:

将上面的代码粘贴至记事本,保存为htm直接运行打开,这段代码的执行结果为在联网的情况下,直接会在网页上显示一个框架,而框架的内容为瑞星官方网站。




引用:

我们来简单分析一下这两个例子的执行结果为什么不同:


  • 例1实际上是一个简单的输出,就是将document.write函数后的内容输出至页面。

  • 例2内容包含了html脚本标签:<iframe>、 src、</iframe> ,此时将会直接执行脚本,而执行的结果为在网页上显示一个框架,而框架的内容为瑞星官方网站。

  • 例1和例2实际上是对“Document.write函数是将字符串转换为Html代码,里面必须有HTML脚本标签,脚本才可以执行,否则,将会被当作字符串输出在网页上”。这段话的一个印证。

networkedition - 2009-5-18 9:22:00


引用:

  Document.write解密方法之alert方法,即在获得的包含有document.write函数的网马代码中,将document.wirte替换为alert函数,将代码保存至记事本,扩展名为htm文件,直接浏览运行。




引用:
下面我们将结合一个实例来进行讲解:

[复制到剪贴板]
CODE:
http://www.photoman.net.cn/feng/3.htm


将上述网址恶意链接地址粘贴至freshow工具url处,我们点击check进行链接,获取网站源代码,详细操作请看下面截图


networkedition - 2009-5-18 9:22:00


引用:

我们看到在获得源代码中红色框标出的为document.write,接下来我们点击freshow的p按钮将代码复制,将此段代码保存至记事本,使用记事本的查找功能,查找内容为“document.write”,将document.write替换为alert,将修改好的代码保存为扩展名为htm格式文件,直接运行打开保存好的网页。


networkedition - 2009-5-18 9:44:00


我们在浏览刚才保存的htm文件过程中,会有上述截图的提示,鼠标右键点中这个提示,选择允许阻止的内容,在弹出的安全警告对话框,点击是继续运行。点击两次确定后会看到如下内容:

networkedition - 2009-5-18 10:08:00


引用:

在这个加密的源代码中,实际上隐含了这么一段代码:

[复制到剪贴板]
CODE:
<script src=3.css></script>



将此代码粘贴至freshow上操作区域,点击filter按钮,我们将会在数据收集区域看到两个网址。相见下面截图



networkedition - 2009-5-18 10:28:00
接下来我们点击数据收集区域的http://www.photoman.net.cn/feng/3.css,进行check链接获取网页源代码。





实际我们解密的这个恶意网址是根据realplayer漏洞,而RealPlayer采用的加密形式为alpha2,这段代码实际上是一个alpha2加密的特例,后续我们会详细讲解alpha2解密方法。
networkedition - 2009-5-18 10:35:00
这里的解密选项自然选择alpha2,点击decode进行解密,相见下列截图:



接下来点击up按钮,将第一次解密的结果上翻至上操作区域进行二次解密,解密选项选择esc,再点击decode完成最终的解密,获得网马下载地址。
networkedition - 2009-5-18 10:47:00


红色框内容为实际的网马下载地址。
networkedition - 2009-5-18 10:48:00
接下来我们可以将网马地址复制粘贴至obj区,点击insert按钮,将解密出的网马地址插入数据收集区。

networkedition - 2009-5-18 11:02:00
点击all按钮全选,再点击log按钮,将解密出日志格式化输出。


Log is generated by FreShow.
[wide]http://www.photoman.net.cn/feng/3.htm
    [script]http://www.photoman.net.cn/feng/3.css
        [object]http://a.cdd1.com/m.css
竹本无ベ - 2009-5-18 11:17:00
坐前排听课,我认真听讲。
Bearboy - 2009-5-27 14:32:00
:default69: 好!
12庞字u - 2009-6-24 8:52:00
很厉害的    我都不太会
jhh28 - 2009-6-27 15:35:00
很喜欢这种公开授课的方式,谢谢了
gtyre2 - 2009-7-2 16:26:00
工具要会用的
kav2046 - 2009-7-17 20:52:00
又学到了新的东西了!感谢楼主的讲课!:kaka9:
J_muse - 2009-7-29 16:00:00
又长知识了
基牛 - 2009-7-31 11:58:00
好好学习 网马 争做网马高手!
零度的穷浪漫 - 2009-8-2 16:48:00


引用:
原帖由 networkedition 于 2009-5-18 9:22:00 发表
例2:

[复制到剪贴板]
CODE:

<script>
document.write("<iframe src=http://www.rising.com.cn></iframe>")
</script>


[quote]
将上面的代码粘贴至记事本,保存为htm直接运行打开,这段代码的执行结果为在联网的情况下,直接会在网页上显

懂了,我终于弄明白这种类型怎么解了,一直都是找到.css之后就不知道怎么做了,这下可明白了
redbsd - 2009-8-20 14:42:00
非常好的贴子,学到了很多。
鹰丶风少 - 2010-7-28 12:11:00
又看完一个:kaka9:
江南xd - 2010-12-14 17:07:00
很不错!:kaka1:
1
查看完整版本: 网马解密大讲堂——网马解密中级篇(Document.write篇)
© 2000 - 2025 Rising Corp. Ltd.