网马解密求指导!
首先感谢℡_ㄨ序幕 提供网马地址:hxxp://www.030033.com/
小白我在用redoce解密上面这个网址的时候遇到了些问题,希望大牛帮忙指导一下!
我先说一下我的过程吧,首先把网址输入,点go得到代码,如图1。
附件:
您所在的用户组无法下载或查看附件[img]file:///C:/Documents%20and%20Settings/Administrator/Application%20Data/Tencent/Users/1403049417/QQ/WinTemp/RichOle/1%60H_6969T$A$%7DNGDMzUKX.jpg[/img]
发现有好多%3D%22的东东,在解密那选第一个1>转义符清除(\x,\,%)(参数/无参数),点开始,得到图2的结果,
附件:
您所在的用户组无法下载或查看附件然后点击URL>解析出一个网址:hxxp://www.030033.com/qwert/wsx.htm
点击它再点GO,得到代码如下图:
附件:
您所在的用户组无法下载或查看附件发现一个url,把url地址复制到上面,再点一下GO,得到代码,顺便点一下旁边的+,使该网址添加到hxxp://www.030033.com/qwert/wsx.htm的下面
这个代码相当的长,看内容是香港六合彩的网……
记得老师说过看到代码很长不知道从哪入手的时候就查找document.write,于是我在执行那选择第4个,4>标出Documents.Write位置,开始,看到代码中果然有此物,在解密中选择D>Document.Write清除,把它清除掉。之后出现3个脚本错误,选“是”后,得到被精简许多的代码,如下图:
附件:
您所在的用户组无法下载或查看附件发现中间有好多%u,是shellcode加密,在解密中选第5个,5>Unicode清除(%u,\u)(参数/无参数) ,得到的代码还是带有很多%,这个时候我选了解密的第一个清除掉,再点URL得到3个网址(事实上,不用选第一个清除掉%,也能得到这3个网址……)
附件:
您所在的用户组无法下载或查看附件得到的3个网址链接中前两个是没用的,选了第3个,GO之后,又是一段巨长的代码……同样的方法,标出Documents.Write位置,清除document.write,再选Unicode清除(%u,\u)清除,点URL,得到两个网址,第一个是没用的,第二个如下图:
附件:
您所在的用户组无法下载或查看附件选择转义符清除,点URL,又得到3个网址……(感觉永远不会完……)
同样前两个是没用的,点了第3个,又是段长代码,但是,没有document.write,也没有eval,也没发现什么可以的地方,直接点url,得到了10个网址
于是我感觉我解错了,想请教各位,我的步骤哪里错了,应该怎么解?? (这个网址我解了两天了……)
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
