暗夜的雪 - 2010-3-12 13:48:00
今天的网马解密很厉害,里面既没有熟悉的eavl,也没有document。
突然有点慌了手脚。。
不过既然是shellcode,肯定有所玄机。
放到Freshow里面解密,两次ESC没有东西,肯定有密钥!!
不过看的晕乎,不能用常规办法靠眼睛去找密钥了。。
于是乎
仔细观察了一下代码,发现里面有两个语句:unescape 函数,
于是想到了用这个解密方法也许能有所斩获,后来在网上找了个小工具,专门解密加密escape的。
把代码放到里面,解密以后没发现任何有用的东西。
算是走了点弯路吧。
没办法,只有提纯shellcode了。
这里面有20几个变量,一个一个替换我下午就不用去上课了。。。
想到一个办法:
把里面的变量和最后这些变量和,的变量全都复制下来,
放到网页里,在最后一行加上alert(变量和的变量);
前后加上脚本标签。
一运行,
哈哈,纯的shellcode就出来了!! 放到Freshow里面一枚举~~ 最后的密钥和网马就都出来了!
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6
突然有点慌了手脚。。
不过既然是shellcode,肯定有所玄机。
放到Freshow里面解密,两次ESC没有东西,肯定有密钥!!
不过看的晕乎,不能用常规办法靠眼睛去找密钥了。。
于是乎
仔细观察了一下代码,发现里面有两个语句:unescape 函数,
于是想到了用这个解密方法也许能有所斩获,后来在网上找了个小工具,专门解密加密escape的。
把代码放到里面,解密以后没发现任何有用的东西。
算是走了点弯路吧。
没办法,只有提纯shellcode了。
这里面有20几个变量,一个一个替换我下午就不用去上课了。。。
想到一个办法:
把里面的变量和最后这些变量和,的变量全都复制下来,
放到网页里,在最后一行加上alert(变量和的变量);
前后加上脚本标签。
一运行,
哈哈,纯的shellcode就出来了!! 放到Freshow里面一枚举~~ 最后的密钥和网马就都出来了!
附件: 您所在的用户组无法下载或查看附件用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2) Gecko/20100115 Firefox/3.6