我碰到下面利用由於從我的殺毒軟件的警告。它起源於在我的某個網站上投放橫幅廣告的廣告服務器。任何人都可以去混淆這個漏洞嗎?
我已經檢索與Wget的內容,並複製到引擎收錄。
http://pastebin.com/m6fa38fac
[警告:鏈接可能包含惡意軟件 - 不要弱勢PC瀏覽]
請注意,您必須對引擎收錄水平滾動的代碼都在同一行。
任何人都可以找出該漏洞實際上呢?
謝謝。
我碰到下面利用由於從我的殺毒軟件的警告。它起源於在我的某個網站上投放橫幅廣告的廣告服務器。任何人都可以去混淆這個漏洞嗎?
我已經檢索與Wget的內容,並複製到引擎收錄。
http://pastebin.com/m6fa38fac
[警告:鏈接可能包含惡意軟件 - 不要弱勢PC瀏覽]
請注意,您必須對引擎收錄水平滾動的代碼都在同一行。
任何人都可以找出該漏洞實際上呢?
謝謝。
不太,因爲它包括(相當於):
var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');
它然後使用含有它作爲一鍵陣列解碼文檔的最後修改時間的分和秒。如果你仍然不能檢索那個時間,我們就不得不暴力。 ETA:嗯,實際上它只使用分鐘的第一位數字,從它使用它的方式我們可以猜到它應該是1
。這隻剩下六十種可能性,並且快速循環顯示有意義的JavaScript僅在16
秒出現。
我已經把解碼後的腳本here;它可能也會ping你的反病毒。總結:它運行鍼對Java,Flash和Acrobat插件的攻擊,從googleservice.net運行一個有效載荷,這是一個俄羅斯攻擊站點(驚喜)。
是否有某種工具或庫可用於先解析它,然後輸出生成的代碼? – 2009-11-27 11:22:09
@ mr-euro:請在此評論中打破該網址,並在另一個網站中打開該網址。通過失去http。在評論中,URL是自動鏈接的,與pastebin鏈接不同,這實際上是一個鏈接到實時攻擊! – bobince 2009-11-27 11:33:15
那麼這是否真的隻影響過時版本的Java,Acrobat和Flash插件?所有的瀏覽器呢? – 2009-11-27 11:35:34
這ussualy作品打印去模糊代碼
eval = alert;
在Firefox使用Firebug,我解決了這個問題是這樣的:
var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));
輸出是在這裏: --deleted由於zoidberg的評論 -
你能否詳細說明如何實際做到這一點?在哪裏插入? – 2009-11-27 11:22:57
我不會發佈網址,我們想要的最後一件事是谷歌蜘蛛撿起連接到利用網站的Stackoverflow! – Zoidberg 2009-11-27 11:33:19
確保您的AV達,正如我剛剛訪問了引擎收錄,然後又警報運行。 – 2009-11-27 10:34:17
將變量名稱命名爲一些正常名稱,然後將字符解碼爲ASCII碼,不是那麼大的問題。要求別人做這項工作,這太過分了。 – dusoft 2009-11-27 10:43:43
我想你應該考慮提取文本並以文本形式提供,以保護其他人免於問題。 – 2009-11-27 10:44:06