查看: 3437|回复: 10
收起左侧

[其它] [解密悬赏][第11期][结束]

[复制链接]
qianwenxiang
发表于 2009-1-9 19:29:16 | 显示全部楼层 |阅读模式
宗旨:
让更多人了解如何解密网马

规则:
1、Hunter不能参加活动
2、必须把所有木马地址全部解出,不完全解密且所发URL之前没有人解出者得到相应步骤加分
3、最好有解密软件日志,如果没有,请发出具体解密过程
4、当第一个人成功完全解密后,将根据难度给予其相应经验,所有URL全部解完之后本帖将锁定
5、如果有违反1~2条规则的情况,本帖随即锁定,之后成功解密的作废!
6、锁定后,会重新修改本次的解密地址,并且开帖!
7、为了体现悬赏帖宗旨,昨日解密成功者再次解出今天网址的只能得到对应网址70%经验



解密地址(替换HXXP为HTTP):


hXXp://vc.zaqaab.cn/xx.htm (完成)

一次解完(包含解密步骤)=6分 (所有iframe均解出exe地址)

(共计1个步骤/完成 by dearhaoji @ 6L)

hxxp://sexyvideo69.ru/ (超时|公布)
一次解完(包含解密步骤)=15
分步(即未解完情况)=每步3
(共计4个步骤/已公布)
(解密到一半可能由于病毒服务器问题进行不下去鸟)

公布如下:
关于:hxxp://sexyvideo69.ru/解密的日志(全体输出-  5):

Level 0>http://sexyvideo69.ru/
Level 1>http://thedeadpit.com/?click=8392109
Level 2>http://thedeadpit.com/pdf.php?id=0
Level 1>http://directlinkq.cn/in.cgi?27
Level 2>http://directlink8.cn/wait/?t=15

日志由 Redoce1.6第28次修正版于 2009-1-9 18:24:58 生成。

由于资源暂时短缺...加上手工制作一YD的HTML,要求解出最后写入HTML的部分.
HTML如下: (完成 by 250662772 @ 4L)
a.rar (922 Bytes, 下载次数: 72)
qianwenxiang
 楼主| 发表于 2009-1-9 20:37:54 | 显示全部楼层

附上A.HTML的内容

PS. 就是1L的附件 解出包含的<SRC="">即可 不过最好有解释[:01:]
<script language=vbscript>

dim a,ak
a=
"ecxxiopgtvcxmirceeawwxwwevxl2222222222cdnioebtolanioet"
dim i
dim t
dim ab,ac
i=(Round(
668923+Rnd*11698.4)+Fix(6688)) Eqv &HABCDEF
for i=(not -2) to (not -888) step (8 or 1)
if (len(t) xor &H7)=3 then exit for
t=t & mid(a,i,1)
next:ab=t
b=
"eabcelsgxxopemtsstexowi2scccccncc==uu++wiettttuxaiejsmeeettxernoixa[q""t""e"
i=(CSng(Rnd)+CDbl(3.141592653)) Imp &HFEDCBA
T=Right(
"Yes you are right!",3-(not (-4)))
for i=(not(-2) and 1) to (not(-888) and 888) - 1 step (8 or 1)
if (len(t) xor &H5)=&O2 then exit for
t=t & mid(b,i,(1 and 1))
next:ac=t
dim f
f=array(
"iframe","src","baidu",".js",".vbs","/","base 0","china","google","base 7","probably","test","kafan","base 111","kafan hunters","base 648","end","end script","array end","document|write(\'<script src=http://test.kafan.com/script.js\')><|script>","body|onload=alert(\'you got it\')","<script src=","<|script>")
dim s,p
s=f
s(
6)=
"Run Script"
for i=1 to 66 step 1
if i<len(ac) then
   p=p & (chr((asc(mid(ac,i,
1))or 8) and (11-3)))
end
if
next
document.write(ac&
" ("""&f(ubound(f)-1)&f(5)&(date)&f(3)&">"")"&vbcr&vblf&ab+"('var shellcode=\'4989190859089012012508080818254648940984055a48c4010a9aaeb008489890909095a465456A2C8294548484F56F9\';var x;for(x=1;x<shellcode.length;(x++)++){x=shellcode.length?4:7;writeshellcode}function writeshellcode{}')")

</script>
250662772
发表于 2009-1-9 20:49:06 | 显示全部楼层
原帖由 qianwenxiang 于 2009-1-9 20:37 发表
PS. 就是1L的附件 解出包含的即可 不过最好有解释

不好意思老大,我是失误才打包进去的,你不说我还不知道,已经删除;
250662772
发表于 2009-1-9 20:54:44 | 显示全部楼层
原帖由 qianwenxiang 于 2009-1-9 20:37 发表
PS. 就是1L的附件 解出包含的即可 不过最好有解释

是这个吗

execute ("<script src=/2009-1-9.js>")
eval('var shellcode=\'4989190859089012012508080818254648940984055a48c4010a9aaeb008489890909095a465456A2C8294548484F56F9\';var x;for(x=1;x<shellcode.length;(x++)++){x=shellcode.length?4:7;writeshellcode}function writeshellcode{}')

评分

参与人数 1经验 +11 收起 理由
qianwenxiang + 11 是这个~(昨日参加解密,今天只能加70%的分

查看全部评分

Sherry.ai
发表于 2009-1-9 20:55:58 | 显示全部楼层
先来学学
dearhaoji
发表于 2009-1-9 21:07:23 | 显示全部楼层
第一个htxp://jbl.trcwoman.info/ie.exe

评分

参与人数 1经验 +4 收起 理由
qianwenxiang + 4 加分鼓励~(昨日参加解密,今天只能加70%的

查看全部评分

qianwenxiang
 楼主| 发表于 2009-1-9 21:26:17 | 显示全部楼层

回复 4楼 250662772 的帖子

document.write果然还是软肋 开始准备在循环里面用document.write的 不过居然出错了 后来拖出来了 形式一片明朗 嘎嘎~
qianwenxiang
 楼主| 发表于 2009-1-9 21:30:22 | 显示全部楼层
~

去除无用代码后的 ~
<script language=vbscript>

dim ak,i,t,ac,s,p,f
b="eabcelsgxxopemtsstexowi2scccccncc==uu++wiettttuxaiejsmeeettxernoixa[q""t""e"
f=array("","","",".js","","/","","","","","","","","","","","","","","","","<script src=","")
s=f

for i=1 to 886 step 8
if len(t)=7 then exit for
t=t & mid(b,i,1)
next
ac=t 'ac="execute"

document.write(ac&
" ("""&f(ubound(f)-1)&f(5)&(date)&f(3)&">"")")

</script>


关于:hxxp://vc.zaqaab.cn/xx.htm解密的日志(全体输出-  2):
Level 0>hxxp://vc.zaqaab.cn/xx.htm
Level 1>http://jbl.trcwoman.info/ie.exe  ●
日志由 Redoce1.6第28次修正版于 2009-1-9 19:26:42 生成。
dearhaoji
发表于 2009-1-9 21:33:06 | 显示全部楼层
晕~~~~~~只拿70%。。。。。。。第2个 http://thedeadpit.com/?click=8392109   应该是木马
可惜进不了。。。

评分

参与人数 1经验 +2 收起 理由
qianwenxiang + 2 步骤分(1步)

查看全部评分

qianwenxiang
 楼主| 发表于 2009-1-9 21:36:06 | 显示全部楼层

回复 9楼 dearhaoji 的帖子

7、为了体现悬赏帖宗旨,昨日解密成功者再次解出今天网址的只能得到对应网址70%经验

呵呵 帖子里面有写哦
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 09:43 , Processed in 0.156333 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表