誰でもこのエクスプロイトを難読化解除できますか?
-
05-07-2019 - |
質問
AVソフトウェアからの警告により、次のエクスプロイトに遭遇しました。私のサイトの1つにバナー広告を配信する広告サーバーから発信されました。
Wgetでコンテンツを取得し、pastebinにコピーしました。
http://pastebin.com/m6fa38fac
[警告:リンクにマルウェアが含まれている可能性があります-脆弱なPCからアクセスしないでください。]
コードはすべて1行であるため、pastebinで水平にスクロールする必要があることに注意してください。
エクスプロイトが実際に何をしているのか、誰でも知ることができますか?
ありがとう。
解決
完全ではありません(以下と同等):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
それは、それを含むドキュメントの最終変更時刻の分と秒をキーとして使用して、配列をデコードします。それでも javascript:alert(document.lastModified)
の時間を取得できない場合は、ブルートフォースする必要があります。
ETA:ああ、実際には分単位の最初の桁のみを使用します。使用方法から、 1
であると推測できます。それはわずか60の可能性を残しており、クイックループは、意味のあるJavaScriptが 16
秒間しか出ないことを明らかにしています。
デコードしたスクリプトをこちらに入れました。また、おそらくウイルス対策にもpingを実行します。概要:Java、Flash、Acrobatプラグインに対してエクスプロイトを実行し、ロシアの攻撃サイト(驚き)であるgoogleservice.netからペイロードを実行します。
他のヒント
これは通常、難読化解除されたコードを印刷するために機能します
eval = alert;
firefoxを使用するfirefoxでは、次のように解決しました。
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
出力は次のとおりです。 --zoidbergのコメントにより削除-