任何人都可以对此漏洞进行去混淆吗?
-
05-07-2019 - |
题
由于我的AV软件发出警告,我遇到了以下漏洞。它起源于在我的某个网站上投放横幅广告的广告服务器。
我已经使用Wget检索了内容并复制到了pastebin。
http://pastebin.com/m6fa38fac
[警告:链接可能包含恶意软件 - 请勿访问易受攻击的PC。]
请注意,您必须在pastebin上水平滚动,因为代码全部在一行上。
任何人都可以找出漏洞实际上做了什么吗?
谢谢。
解决方案
不完全,因为它包括(相当于):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
然后使用包含它的文档的最后修改时间的分钟和秒作为解码数组的键。如果您仍然无法检索 javascript:alert(document.lastModified)
时间,我们就必须强制它。
ETA:嗯,实际上它只使用分钟的第一个数字,从它使用它的方式我们可以猜测它应该是 1
。这只留下了六十种可能性,快速循环显示只有 16
秒才会出现有意义的javascript。
我已将解码后的脚本此处;它可能也会ping你的反病毒。简介:它运行针对Java,Flash和Acrobat插件的攻击,从googleservice.net运行有效负载,这是一个俄罗斯攻击网站(惊喜)。
其他提示
这个ussualy可以打印去混淆的代码
eval = alert;
用firebug在firefox中,我解决了这个问题:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
输出在这里: - 由于zoidberg的评论而删除 -
不隶属于 StackOverflow