由于我的 AV 软件的警告,我遇到了以下漏洞。它起源于在我的一个网站上提供横幅广告的广告服务器。
我已使用 Wget 检索内容并复制到 pastebin。
http://pastebin.com/m6fa38fac
[警告:链接可能包含恶意软件 - 不要从易受攻击的 PC 访问。]
请注意,您必须在 pastebin 上水平滚动,因为代码都在一行上。
任何人都可以找出漏洞利用的实际作用吗?
谢谢你。
问问题
1100 次
2 回答
11
不完全是,因为它包括(相当于):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
然后它使用包含它的文档的最后修改时间的分钟和秒作为密钥来解码数组。如果您仍然无法检索那个javascript:alert(document.lastModified)时间,我们将不得不暴力破解它。
ETA:啊,实际上它只使用分钟的第一个数字,从它的使用方式我们可以猜测它应该是1。那只剩下 60 种可能性,而快速循环显示有意义的 javascript 只会出现16几秒钟。
我把解码后的脚本放在这里;它可能还会 ping 您的防病毒软件。摘要:它运行针对 Java、Flash 和 Acrobat 插件的漏洞利用,运行来自 googleservice.net 的有效负载,该网站是(令人惊讶的)俄罗斯攻击站点。
于 2009-11-27T10:55:21.440 回答
3
这通常可以打印去混淆的代码
eval = alert;
在带有萤火虫的Firefox中,我这样解决了:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
输出在这里: --deleted due to zoidberg's comment--
于 2009-11-27T11:06:54.310 回答