任何人都可以去混淆这个漏洞吗？

Posted 2023-02-16

【中文标题】任何人都可以去混淆这个漏洞吗？

【英文标题】：Can anyone de-obfuscate this exploit?

【发布时间】：2009-11-27 10:33:08

【问题描述】：

由于我的 AV 软件发出警告，我遇到了以下漏洞。它起源于在我的一个网站上投放横幅广告的广告服务器。

我已使用 Wget 检索到内容并复制到 pastebin。

http://pastebin.com/m6fa38fac[警告：链接可能包含恶意软件 - 不要从易受攻击的 PC 访问。]

请注意，您必须在 pastebin 上水平滚动，因为代码都在一行上。

任何人都可以找出漏洞利用的实际作用吗？

谢谢。

【问题讨论】：

确保您的 AV 已启动并运行，因为我刚刚访问了 pastebin 并再次收到警报。

将变量命名为正常名称，然后将字符解码为ASCII，问题不大。让别人做这项工作，这太过分了。

我认为您可能应该考虑提取文本并以文本形式提供以保护其他人免受问题。

@dusoft 如果我知道怎么做，你现在就不会读这篇文章了。

@Simon P Stevens 我认为防病毒软件无论如何都会向您发出警报，即使代码实际上并未执行。只要 AV 找到某个字符串并匹配其 AV 恶意软件列表，就会触发警报，包括明文。

【参考方案1】：

不完全是，因为它包括（相当于）：

var mtime= new Date(document.lastModified).toUTCString().split(' ')[4].split(':');

然后它使用包含它的文档的最后修改时间的分钟和秒作为密钥来解码数组。如果您仍然无法检索到 javascript:alert(document.lastModified) 时间，我们将不得不暴力破解它。

ETA：啊，实际上它只使用分钟的第一个数字，从它的使用方式我们可以猜测它应该是1。只剩下 60 种可能性，快速循环显示有意义的 javascript 仅在 16 秒内出现。

我已经把解码后的脚本here;它可能还会 ping 您的防病毒软件。摘要：它运行针对 Java、Flash 和 Acrobat 插件的漏洞利用，运行来自 googleservice.net 的有效负载，该网站是（令人惊讶的）俄罗斯攻击站点。

【讨论】：

是否有某种工具或库可以用来先解析它，然后简单地输出结果代码？

@mr-euro：请打破此评论和其他评论中的 URL，例如。通过丢失http。在 cmets 中，URL 是自动链接的，与 pastebin 链接不同，这确实是一个实时漏洞利用的链接！

那么这真的只影响那些使用过时版本的 Java、Acrobat 和 Flash 插件的人吗？所有浏览器也一样？

正确，该反病毒软件中显示的 URI 正是：googleservice.net/info/news.php（通常带有一些 GUID 作为查询字符串）。

是的。插件是目前#1 漏洞利用目标：浏览器通常会检查自己的更新，插件较少，因此它们经常过时。 Acrobat 是一个特别糟糕的违规者，因为人们在安装 PDF 阅读器应用程序时没有意识到他们正在获得一个插件。请注意，这些站点提供的漏洞利用通常取决于传入的 User-Agent 字符串；如果您从 IE 下载该脚本，您可能会得到不同的结果。

【参考方案2】：

这通常用于打印去混淆的代码

eval = alert;

在 firefox 和 firebug 中，我是这样解决的：

var lpsy16=lpsy;
eval = console.log; // This line was added
eval(lpsy+parseInt(gouy[0]));

输出在这里： --因zoidberg的评论而被删除--

【讨论】：

你能详细说明如何做到这一点吗？会在哪里插入？

我不会发布 URL，我们最不希望的就是谷歌蜘蛛获取 *** 链接以利用网站！