0×01反常事变的觉察
近来咱们经由内网监控系统觉察了一同内网机械的反常造访举动,有一台机械在短功夫内屡屡造访延续
看域名是国内的团体网站,如此的造访是特别罕见的,经由观察该网页的源文献觉察是包罗一段加密的js文献,
直观觉察该文献也许是网页挂马举动,因而有了上面的剖析
0×02挂马的考证页面
保管该index.html文献到内地来实行调试,经由粉饰以后的代码做了混淆,咱们调试时在returnp处断点。
获得要履行的P值后,也许看到其经由了屡屡eval函数。
屡屡跟踪调试可觉察最后履行的代码以下
个中gs7sfd函数会经由IE的ActiveXObject来考证用户电脑里能否存在平安软件的启动文献。而gs7sfe函数会经由Image标签来考证用户电脑能否存在杀毒程叙文献、(本质行使了IE的内地文献探测罅隙),假若文献都不存则会在页面写入iframe文献win.html。
0×03flash挂马页面
接着下载剖析win.html文献,其也是实行了混淆加密。
其方法和index.html相同都是实行了屡屡eval。
经由屡屡调试运转即获得最后履行的代码。
该程序会先经由cookie来考证用户能否造访过该链接,假若没有造访过即发端实行挂马。
在实行挂马的光阴会先获得flash的版本,来取舍对应的挂破绽本,看来这个挂马做了不少兼容。
惋惜的是没有也许下载到flash文献,其目录下的ad.swflogo.swf文献已被简略了。
然则上面再有一次挂马,这段代码会考证能否为IE旅游器,假若是则会在页面写入iframe文献main.html。
0×04行使CVE--实行挂马
观察main.html文献也许觉察这是一个模范的经由CVE--来实行挂马的页面。(