Кто-нибудь может де-запутать этот подвиг?
-
05-07-2019 - |
Вопрос
Я обнаружил следующий эксплойт из-за предупреждения от моего программного обеспечения AV. Он создан рекламодателем, размещающим рекламные баннеры на одном из моих сайтов.
Я получил содержимое с помощью Wget и скопировал его в pastebin.
http://pastebin.com/m6fa38fac
[Предупреждение: ссылка может содержать вредоносное ПО. Не заходите с уязвимого ПК.]
Обратите внимание, что вы должны прокручивать горизонтально на pastebin, поскольку код находится на одной строке.
Может кто-нибудь узнать, что на самом деле делает эксплойт?
Спасибо.
Решение
Не совсем так, как включает (эквивалент):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
затем использует минуты и секунды последнего измененного времени документа, содержащего его, в качестве ключа для декодирования массива. Если вы все еще не можете получить это javascript: alert (document.lastModified)
, нам нужно было его перебором.
ETA: ах, на самом деле он использует только первую цифру минут, и по тому, как он его использует, мы можем догадаться, что он должен быть 1
. Это оставляет только шестьдесят возможностей, и быстрый цикл показывает, что значимый JavaScript выходит только за 16
секунд.
Я разместил декодированный скрипт здесь ; это, вероятно, также пингует ваш антивирус. Описание: он использует эксплойты против плагинов Java, Flash и Acrobat, запуская полезную нагрузку с googleservice.net, который является (неожиданным сюрпризом) русским сайтом атаки.
Другие советы
Обычно это работает для печати де-запутанного кода
eval = alert;
в firefox с firebug я решил это так:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
Вывод здесь: - удалено из-за комментария Зойдберга -