Etwas Javascript dekomprimiert?

7

Ich hatte das Folgende in die Fußzeile einer Seite von mir injiziert und, um das größere Geheimnis zu lösen ("Wie" es geschah), versuche ich es zu entschlüsseln. Irgendwelche Ideen?

Hier ist der Code:

%Vor%     
Jonathan Wold 02.08.2010, 20:48
quelle

10 Antworten

6

Sie können die Zeichenfolge mit diesem Tool dekodieren. Legen Sie die Optionen für die Zeichenfolgenkonvertierung auf URL und Decode fest. Dann kannst du es hübsch machen mit js beautifier .

Und weil ich neugierig bin, habe ich mir die Ausgabe angeschaut. Es wird eine neue caption.js -Datei aus einer halb-zufälligen Domain in Ihre Seiten geschrieben. Es gibt zwei Arrays von URL-Segmenten, die zum Erstellen der vollständigen Domain verwendet werden. Daher würde ich sagen, dass Sie etwas damit zu tun haben.

    
Pat 02.08.2010, 20:52
quelle
6
%Vor%

Setzt also eine Subdomain von e (zB vagi. ) auf einen Domainnamen von d (zB myads.name ) und lädt ein Skript von /system/caption.js in dieser Domain (zB http://vagi.myads.name/system/caption.js ).

    
Jordan Running 02.08.2010 20:53
quelle
2
%Vor%

code lädt eine zufällige subdomain-sld-Kombination mit einem Cookie-Set, um unsicheren Inhalt zu laden.

    
Rixius 02.08.2010 20:55
quelle
1

Alle diese Zahlen sind hexadezimale Werte für ASCII-Zeichen. Wenn unescape aufgerufen wird, werden sie zu echten Charakteren. z.B. % 3C ist '& lt;'.

Warum nicht ein Meldungsfeld verwenden, um die Ausgabe von unescape (...) anzuzeigen

    
Matt Breckon 02.08.2010 20:52
quelle
1

Sie können den Hexdecoder hier verwenden: Ссылка Der Code ist

%Vor%     
Chris Foster 02.08.2010 20:54
quelle
1
%Vor%     
Borealid 02.08.2010 20:54
quelle
1

Hier ist ein URLDecoder: Ссылка

Und der Code, den es schreibt:

%Vor%

OK, das ist nicht sehr hilfreich. Es scheint eine andere JS-Datei einzufügen, wenn der Benutzer keinen Cookie namens "holycookie" hat und nicht der Google-Bot ist. Das meiste ist nur Junk, um den Domainnamen auszuwählen, von dem die Payload kommt.

    
user409021 02.08.2010 20:54
quelle
1

Der von Ihnen veröffentlichte Code dekodiert zu

%Vor%

lädt wiederum Code aus einer URL, die pseudozufällig zusammengesetzt ist, vorausgesetzt, dass die if-Bedingung erfüllt ist.

Wenn Sie zum Beispiel Ссылка öffnen, wird Ihnen der folgende JavaScript-Code angezeigt. < br>

Ich überlasse die Interpretation Ihnen, aber es sieht ziemlich harmlos aus.

%Vor%

Wie konntest du das alleine machen? URLDecode + jsbeautifier oder jsunpack sind mehr als genug, um so weit zu kommen;)

    
em70 02.08.2010 21:04
quelle
1

Verwenden Sie "Versionskontrolle", damit dies in Zukunft nicht mehr geschieht. Nachdem ein guter Build abgeschlossen ist und alles so ist, wie Sie es möchten, speichern Sie es auf einer externen Festplatte, während Sie offline sind.

Haben Sie kürzlich etwas getan, um einen Kollegen, der Programmierer ist, zu verärgern?

    
Dane Hart 26.01.2018 02:06
quelle
0

Verwendete PHP-Funktion rawurldecode

%Vor%     
Wifi Cordon 02.08.2010 21:17
quelle

Tags und Links