1   1  /  1  页   跳转

[教程] 47期网马解密悬赏教程

47期网马解密悬赏教程

孔子老师让写的,不过今天去的时候发现呢网马失效了,我这里保存了一点代码,所以只能回忆一下大体的思路~各位见谅!
Level  0>http://zxcv11.3322.org:99/
首先是这个站点的代码分析,可以fliter出以下这几个:
Level  1>http://zxcv11.3322.org:99/check.php?id=id
Level  1>http://zxcv11.3322.org:99/safe.js
细看的代码可以发现里面有这么一串,这个是凭记忆写的,可能语法有错误哈,大家看思路即可,XX部分省略
<src>/me-.html?id=?
if (id==u1)
  {
      XXXXXX;
      vip1();
  }
else(id==u2)
  vip2();
那么我们可以添加进以下分别获取代码:
Level  1>http://zxcv11.3322.org:99/me-.html?id=u2
Level  1>http://zxcv11.3322.org:99/me-.html?id=u1
在u1下发现含有eval的变量的代码,将其调出运行,(这里呢 如果不太熟代码不会手动分析的话呢,用神器的解密所有脚本功能很好,这也是我后来偶尔发现的,它会把一个页面里可以运行的eval()函数单独提取出来运行显示结果,对于一个代码里含有很多变型过后的eval(),并且加入了一些特殊代码使eval()不能直接运行的时候很有用)
运行之得到可用信息:

其实当时就怀疑就是最后这串ANHEI是网马地址,但是本着全部检查的原则,于是打开u2
在u2下用rd的src发现
Level  2>http://zxcv11.3322.org:99/Chic.css
获取这个CSS得到一段和网马每日练习13很像的代码,对oaho分析后做以下替换:

得到代码:


然后是标准的shellcode哈,2次ESC用BD解密得到:
Level  3>http://zxcv11.3322.org:99/Style.Css
其实和猜测一样 就是在ANHEI里

接下来继续分析的代码:
Level  0>http://zxcv11.3322.org:99/
Filter出
Level  1>http://js.tongji.linezing.com/+tongji_num+/tongji.js
从代码里知道根据id的不同 tongji_num不同
因为代码里含有
if(id==X||id==Y||……)
  tongji_num = XXXXXXXX;
这样的,那么发现tongji_num一共有1530557 1530554 1460303 1339401 1475272 1358882 1404518  1419200 1399654 615056
分别加入以下Level  1>http://js.tongji.linezing.com/XXXXXXXXtongji.js
然后分析,得到链接:
Level  2>http://js.tongji.linezing.com/1530557/+url_id+/clickcollect.js
Level  2>http://tongji.linezing.com/clickmap/load_clickmap.html?r=+Math.random
发现又是url_id,继续分析 加入日志检查,发现都没什么可疑之处
于是得出结果就是上面那个拉~







用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 3.5.21022; MAXTHON 2.0)
最后编辑梅罗 最后编辑于 2010-03-16 17:11:49
天地间那一抹不灭的流光 即我
分享到:
gototop
 

回复 3F 是昔流芳 的帖子

被压榨了
天地间那一抹不灭的流光 即我
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT