Quelqu'un peut-il masquer cet exploit?
https://stackoverflow.com/questions/1807974
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis tombé sur l'exploit suivant suite à un avertissement de mon logiciel audiovisuel. Elle provient d'un serveur de diffusion de bannières publicitaires sur l'un de mes sites.
J'ai récupéré le contenu avec Wget et l'ai copié dans pastebin.
http://pastebin.com/m6fa38fac
[Avertissement: le lien peut contenir des logiciels malveillants - Ne visitez pas un ordinateur vulnérable.]
Veuillez noter que vous devez faire défiler horizontalement le fichier pastebin car le code est sur une seule ligne.
Quelqu'un peut-il savoir ce que l'exploit fait réellement?
Merci.
La solution
Pas tout à fait, car il inclut (l'équivalent de):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
utilise ensuite les minutes et les secondes de la dernière modification du document qui le contient comme clé pour décoder le tableau. Si vous ne pouvez toujours pas récupérer le code javascript: alert (document.lastModified) , il vous faudra le forcer brutalement.
ETA: ah, en fait, il n’utilise que le premier chiffre des minutes, et de la façon dont il l’utilise, on peut supposer que c’est censé être 1 . Cela ne laisse que soixante possibilités, et une boucle rapide révèle que du javascript significatif ne sort que pendant 16 secondes.
J'ai mis le script décodé ici ; il fera probablement aussi un ping de votre anti-virus. Résumé: il exécute des exploits contre les plugins Java, Flash et Acrobat, exécutant une charge utile de googleservice.net qui est (surprise surprise) un site d’attaque russe.
Autres conseils
Ceci fonctionne généralement pour imprimer du code non obfusqué
eval = alert;
dans firefox avec firebug, je l'ai résolu comme suit:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
La sortie est ici: - Supprimé en raison du commentaire de zoidberg -
