Fórum Root.cz

Ostatní => /dev/null => Téma založeno: mikesznovu 15. 09. 2021, 19:32:36

Název: co je to za skript? url uman-rid...Auant
Přispěvatel: mikesznovu 15. 09. 2021, 19:32:36

Je vložený klasicky v hned HEAD.


https://www.ancestry.com/uman-rid-morthy-Sir-valict-Witchd-Mac-Auant-King

Kód: [Vybrat]

function(){var Pe=0;var sl="5vaWdW.....
NJRFFEU1";var sA=window.atob(sl);var mK=sA.length;var w8=[];whil.
Co to dělá? Proč to má takhle podivné jméno  a obsah je nečitelný. a jak to detekovat případně zablokovat pokud to nedělá nic užitečného prp návštěvníka
Ani de4JS si s tim neporadí

Na webu https://www.ancestry.com/uman-rid-morthy-Sir-valict-Witchd-Mac-Auant-King.  Ale narazil jsem na to i na jinem webu, jde o podobnou smesici radoby-slov

Název: Re:co je to za skript? url uman-rid...Auant
Přispěvatel: IDontCare 15. 09. 2021, 20:00:12

Vypada to, ze kod ma dve casti. Prvni je JS exploit pro IE a dva binarni soubory. Druha cast je persistentni bot.. 50c.

Název: Re:co je to za skript? url uman-rid...Auant
Přispěvatel: IDontCare 15. 09. 2021, 20:12:05

Respektive to nebudou binarni soubory, ale binarni payload. Kazda cast pouziva jinou obfuskaci. Prvni je neco ve smyslu base64 + nejake posuny. Druha cast pouziva substituci z pole, ktere je  videt nekde v pulce. Jestli mas cas da se to v pohode rozebrat do detailu.

Název: Re:co je to za skript? url uman-rid...Auant
Přispěvatel: alex6bbc 15. 09. 2021, 21:34:27

jsnice.org ten skript zkrasli, ze je citelny, ale vnitrnosti jsou stejne zalozene na tech binarnich datech, takze hafo rucni prace, kdybys to chtel rozmontovat.

zkusil bych to spustit a debugovat v nodejs.