扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
意思就是调用pass验证函数,如果为真,就继续执行里面的内容。XOR是运算符,对两个表达式进行逻辑“异或”运算。这里就不详细了解了。关键是最后的Document.write(cuteqq3)了解网页代码的人就知道这段具体的意思就是,如果密码验证正确。就输出cuteqq3这个函数里的内容。当我们遇到document.write的时候我们一般把它改成“alert”得到初步解密:
这里我们就遇到一个问题。Alert根据里显示器的大小显示内容。无法完整显示出内容。怎么办?我们引入一段javascript代码:document.getElementById(’textfield’).value=cuteqq3;替换掉原来的document.write(cuteqq3);然后在页面的</head>
<body>和<script></script>之间添加一段,效果如下:
<html>
<head>
<title>网马</title>
</head>
<body>
<form id="form1" name="form1" method="post" action="">
<label>
<textarea name="textfield" cols="100" rows="50"></textarea>
</label>
</form>
<script>
….这里省略解密部分
</script>
这里的意思是建立一个文本框,然后吧刚才的cuteqq3的内容赋值给文本框,Textfield是文本框的名称。可以自己修改。但是必须修改document.getElementById(’textfield’).value里对应的名称,再次运行刚才的网马得到结果:
刚才加密过代码大小是:
解密后是:
至于里面的\x72\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79这样的代码,我们就可以用简单的办法突破了。
十六进制转义字符串如下:
<SCRIPT LANGUAGE="JavaScript">
alert("\x72\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79")
</SCRIPT>
就可以显示出来了,顺便说下。刚才的加密页面里用到了防止查看源代码的技术。就是适用下面的代码
<noscript>
<iframe src=*>
</iframe>
</noscript>
这里的noscript元素用来定义在脚本未被执行时的替代内容(文本),此标签可被用于可识别<script>标签但无法支持其中的脚本的浏览器。但当浏览器支持javascript脚本时,就起到隐藏noscript标签中间内容的作用,所以导致无法查看源代码。很多时候我们要盗取别人的网马的时候就会遇到这样的问题,怎么办呢?简单!我们前面说道,所有网马要被执行都要先转换为浏览器可以识别的代码,另外,网马执行的同时也是要保存到浏览器的缓存中的。默认位置是:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files,打开你要盗取的网马的页面前先清空下你的IE缓存,然后刷新网马页面,就会发现网马乖乖的躺再里面了!(本地测试的网页是不会保存到缓存的所以这里不截图了)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者