Узнать, что делает шшел-код

Discussion in 'Уязвимости' started by mr.The, 28 Aug 2009.

  1. mr.The

    mr.The Elder - Старейшина

    Joined:
    30 Apr 2007
    Messages:
    1,126
    Likes Received:
    459
    Reputations:
    38
    Сабж. Друг отписал что после посещения сайта "site.ru" у него выпал браузер.

    На сайте я нашел жаба-скрипт инклуд: _ttp://flo4.cn/1.txt
    который привел меня сюда: __tp://hit77.biz/myy/show.php?s=65904708a5

    Там был закриптованый код. Поковырявшись, я сделал его удобочитаемым : http://mrthe.name/trash/sss.zip (в архиве исходный скрипт, и скрипт с форматированием. пароль 123)

    Как я понял там модные pdf, swf сплоиты и шшел-код. Вот на этом мои знания кончаются. А требуется всего-лишь узнать что делает этот код, что он грузит, отправляет и тд.

    http://mrthe.name/trash/ss.zip - pdf и swf, которые должны грузиться. пас - 123


    С меня печеньки.
     
    #1 mr.The, 28 Aug 2009
    Last edited: 28 Aug 2009
  2. o314um

    o314um Member

    Joined:
    16 Nov 2006
    Messages:
    266
    Likes Received:
    87
    Reputations:
    5
    да забей, обычная связка, сплойты тож скорее всего с багтреков слитые, чтото вроде
    PDF collab.getIcon
    PDF Util.Printf
    PDF collab.collectEmailInfo
     
    1 person likes this.
  3. mr.The

    mr.The Elder - Старейшина

    Joined:
    30 Apr 2007
    Messages:
    1,126
    Likes Received:
    459
    Reputations:
    38
    o3,14um, что-то я не понял.. что есть там ничего опсного нет? не, ну неможет быть, что бы саязка тупо висела и ничего не делала.
     
  4. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    736
    Likes Received:
    339
    Reputations:
    37
    http://damagelab.org/lofiversion/index.php?t=16684
     
    1 person likes this.
  5. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,752
    Likes Received:
    1,044
    Reputations:
    339
    Бинарник он и так видно откуда берет:

    http://hat77.biz/myy/load.php?e=1

    сохраняет сюда: .//..//file.exe

    но если просто зайти по этой ссылке, то нифига не грузится
     
Loading...