¿Alguien puede desenfocar esta hazaña?
https://stackoverflow.com/questions/1807974
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Encontré la siguiente vulnerabilidad debido a una advertencia de mi software AV. Se originó en un servidor de anuncios que publicaba anuncios de banner en uno de mis sitios.
He recuperado el contenido con Wget y lo he copiado en pastebin.
http://pastebin.com/m6fa38fac
[Advertencia: el enlace puede contener malware: no visitar desde una PC vulnerable.]
Tenga en cuenta que debe desplazarse horizontalmente en pastebin, ya que el código está en una sola línea.
¿Alguien puede averiguar qué hace realmente el exploit?
Gracias.
Solución
No del todo, ya que incluye (el equivalente de):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
luego utiliza los minutos y segundos de la última modificación del documento que lo contiene como clave para decodificar la matriz. Si aún no puede recuperar ese javascript: alert (document.lastModified) , tendremos que hacerlo con fuerza bruta.
ETA: ah, en realidad solo usa el primer dígito de los minutos, y por la forma en que lo usa podemos adivinar que se supone que es 1 . Eso deja solo sesenta posibilidades, y un bucle rápido revela que javascript significativo solo sale por 16 segundos.
He puesto el script decodificado aquí ; Probablemente también hará ping a tu antivirus. Resumen: ejecuta exploits contra los complementos de Java, Flash y Acrobat, ejecutando una carga útil de googleservice.net que es (sorpresa) un sitio de ataque ruso.
Otros consejos
Por lo general, esto funciona para imprimir código sin ofuscación
eval = alert;
en firefox con firebug, lo resolví así:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
La salida está aquí: --eliminado debido al comentario de zoidberg--
