누구 든지이 악용을 비난 할 수 있습니까?
-
05-07-2019 - |
문제
AV 소프트웨어의 경고로 인해 다음 악용을 발견했습니다. 내 사이트 중 하나에 배너 광고를 제공하는 애드 서버에서 시작되었습니다.
나는 WGET로 내용을 검색하고 Pastebin에 복사했습니다.
http://pastebin.com/m6fa38fac
경고 : 링크에는 맬웨어가 포함되어있을 수 있습니다 - 취약한 PC에서 방문하지 마십시오.
코드가 모두 한 줄에 있으므로 Pastebin에서 가로로 스크롤해야합니다.
누구나 익스플로잇이 실제로 무엇을하는지 알 수 있습니까?
고맙습니다.
해결책
(등가)를 포함하는대로 : :
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
그런 다음 문서가 포함 된 마지막으로 변형 된 시간의 분과 초를 배열을 해독하는 키로 사용합니다. 여전히 검색 할 수 없다면 javascript:alert(document.lastModified)
우리는 그것을 무차별해야 할 시간입니다.
ETA : 아, 실제로는 분의 첫 번째 숫자 만 사용하고 사용하는 방식에서 우리는 그것이 1
. 그것은 단지 60 가지 가능성 만 남기고, 빠른 루프는 의미있는 자바 스크립트만이 나옵니다. 16
초.
디코딩 된 스크립트를 넣었습니다 여기; 아마 당신의 안티 바이러스를 핑할 것입니다. 요약 : Java, Flash 및 Acrobat 플러그인에 대한 악용을 실행하여 Googleservice.net에서 뿌리를 실행하는 러시아 공격 사이트입니다.
다른 팁
이 ussualy는 de-obfuscated 코드를 인쇄하기 위해 작동합니다
eval = alert;
Firebug와 함께 Firefox에서 다음과 같이 해결했습니다.
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
출력은 다음과 같습니다.-Zoidberg의 의견으로 인해 삭제되었습니다.