吓得我赶紧拿出了暗藏多年的挂马分析器。。
然后就发现了为毛被爆挂马
https://www.virustotal.com/en/file/c35b9e2af020e4e535c48a7b23f69a5e4c67b3a4d1bd2b3f7602856d7100cc3b/analysis/1491478342/
实际上 纯属误报 它内容是这样的
- <html><body><script>var uw="",vw="",yw,ww=new Array(),xw;function sw(tw){for(yw=0;yw<xw.length;yw++)ww[yw]=xw.charCodeAt(yw);yw="yw=50;while(true){if(yw<4)break;ww[yw]=((((ww[yw]+ww[yw-1])&0xff)<<1)&0xff)|(((ww[yw]+ww[yw-1])&0xff)>>7);yw--;}";eval(yw);for(yw=51;yw>=1;yw--){ww[yw]=(~(((ww[yw]-ww[yw-1])&0xff)^201))&0xff;}yw="for(yw=48;yw>=4;yw--){ww[yw]=(ww[yw]+ww[yw-1])&0xff;}";eval(yw);xw="";for(yw=1;yw<ww.length-1;yw++)if(yw%8)xw+=String.fromCharCode(ww[yw]^tw);eval("yw=eval;yw(xw);");}xw="^\xd8<\x9fN]h\xf0\xd7\x9f\xc2C\xb2HDN\xc2\x08\xb2\x0c\xaak\x9bJ\x1f\xe0!o\xb9\xdcOe^Ng6p\x98\x06\x9ax:\xc3b1\x18\xcc\xc8\x10\xfe\xa7o\xc8";sw(59);</script><script>var u=2;for(;u==1;u++);</script><br><br><br><center><h3><p>访问本页面,您的浏览器需要支持JavaScript</p></h3></center></body></html>
乍一看很像挂马用的那种混淆方式 我第一眼看过去也是心想卧槽被挂马了 但实际上解混淆以后得到:
- window.open(uw+"/?jdfwkey=1y7311"+vw,"_self")
显然 是loc为了防CC用的脚本 为的是防止CC客户端直接读取明文JavaScript的跳转代码导致防CC无效
so 无视吧 |
发表于 2017-4-6 18:15:03
楼主