Qualcuno può de-offuscare questo exploit?
-
05-07-2019 - |
Domanda
Mi sono imbattuto nel seguente exploit a causa di un avviso dal mio software AV. Ha avuto origine da un adserver che pubblica banner pubblicitari su uno dei miei siti.
Ho recuperato il contenuto con Wget e copiato su pastebin.
http://pastebin.com/m6fa38fac
[Avvertenza: il collegamento può contenere malware - Non visitare da PC vulnerabili.]
Nota che devi scorrere orizzontalmente su pastebin poiché il codice è tutto su una riga.
Qualcuno può scoprire cosa fa effettivamente l'exploit?
Grazie.
Soluzione
Non proprio, in quanto include (l'equivalente di):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
utilizza quindi i minuti e i secondi dell'ultima modifica del documento che lo contiene come chiave per decodificare l'array. Se non riesci ancora a recuperare quel tempo javascript: alert (document.lastModified)
dovremmo forzarlo brutalmente.
ETA: ah, in realtà usa solo la prima cifra dei minuti e dal modo in cui lo usa possiamo immaginare che dovrebbe essere 1
. Ciò lascia solo sessanta possibilità e un rapido ciclo rivela che il javascript significativo viene fuori solo per 16
secondi
Ho inserito lo script decodificato qui ; probabilmente eseguirà anche il ping del tuo antivirus. Riepilogo: esegue exploit contro i plug-in Java, Flash e Acrobat, eseguendo un payload da googleservice.net che è (sorpresa sorpresa) un sito di attacco russo.
Altri suggerimenti
Questo di solito funziona per stampare il codice offuscato
eval = alert;
in firefox con firebug, l'ho risolto in questo modo:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
L'output è qui: - eliminato grazie al commento di Zoidberg -