Estrai URL da offuscare javascript

0

Ho una sceneggiatura offuscata. Mi è stato chiesto di de-offuscare il codice ed estrarre l'URL dallo script. Tuttavia, ho usato più strumenti di de-offuscamento come

Non ha funzionato. Lo script offuscato si trova in basso.

<script
 language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67
%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%
69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70
%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%
29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%7
3%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E
%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%6
5%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68
%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%
6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('q
mfbtf%2631xbju//////%261B%264Dtdsjqu%264Fbmfsu%2639%2633%26v93F6%26v74E1%26v8%3A
4B%26v8639%26v7348%26v7681%26v7FF2%26vGG1D%26v629E%26v7C32%26v81C%3A%26v62GC
%26v6484%26v64FG%26v5F1C%26v9G8E%2633%263%3A%264D0tdsjqu%264F%261B%264Dtdsjqu
%264F%261Bmpdbujpo%264E%2638iuuq%264B00ttp/h%7Bmjc/hpw/do0joufsmjcTTP0nbjo0Sfbefs
Mphjo%264GdneBDU%264Emphjo%2637gvsm%264E%26363GjoufsmjcTTP%26363Ghpup%26363G8
7%2637mphjoje%264E5512942%3A%3A817418633%2637seqbttxe%264E41863n3%2638%264D0tds
jqu%264F1')</script>

Decodifico lo script e mi ha dato i risultati di seguito.

<script
language=javascript&gt;document.write(unescape(&#39;<script lang
uage="javascript">funct%
69on dF(s){var s1=unescap
e(s.substr(0,s.length-1%
29); var t='';for(i=0;i<%7
31.length;i++)t+=String.
fromCharCode(s1.charCod%6
5At(i)-s.substr(s.length
-1,1));document.write(u%
6Eescape(t));}</script>&#39;));dF(&#39;q
mfbtf&31xbju//////&1B&4Dtdsjqu&4Fbmfsu&39&33&v93F6&v74E1&v8:
4B&v8639&v7348&v7681&v7FF2&vGG1D&v629E&v7C32&v81C:&v62GC
&v6484&v64FG&v5F1C&v9G8E&33&3:&4D0tdsjqu&4F&1B&4Dtdsjqu
&4F&1Bmpdbujpo&4E&38iuuq&4B00ttp/h{mjc/hpw/do0joufsmjcTTP0nbjo0Sfbefs
Mphjo&4GdneBDU&4Emphjo&37gvsm&4E&363GjoufsmjcTTP&363Ghpup&363G8
7&37mphjoje&4E5512942::817418633&37seqbttxe&4E41863n3&38&4D0tds
jqu&4F1&#39;)&lt;/script&gt;

Non riesco a trovare alcun URL in questo punto. Cosa devo fare per trovare l'URL?

Quando ho implementato il testo decodificato sull'editor di codice javascript online.

<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));console.log(unescape(t));}
document.write(dF('qmfbtf&31xbju//////&1B&4Dtdsjqu&4Fbmfsu&39&33&v93F6&v74E1&v8:4B&v8639&v7348&v7681&v7FF2&vGG1D&v629E&v7C32&v81C:&v62GC&v6484&v64FG&v5F1C&v9G8E&33&3:&4D0tdsjqu&4F&1B&4Dtdsjqu&4F&1Bmpdbujpo&4E&38iuuq&4B00ttp/h{mjc/hpw/do0joufsmjcTTP0nbjo0SfbefsMphjo&4GdneBDU&4Emphjo&37gvsm&4E&363GjoufsmjcTTP&363Ghpup&363G87&37mphjoje&4E5512942::817418633&37seqbttxe&4E41863n3&38&4D0tdsjqu&4F1'));</script>

Ho provato a eseguire l'output, tuttavia, dice undefined.

    
posta Abdullah Naina 18.05.2018 - 10:25
fonte

2 risposte

1

Ho eseguito il codice tramite i tuoi link e non sono tutti in grado di tradurre il testo codificato come &#39 e %3C .

Decodifica prima quelle parti, quindi cerca il testo codificato sulla sinistra (ce ne sono alcune) esegui il risultato attraverso un deobfuscator, avendo cura delle interruzioni di riga.

La prima parte è il codice per decrittografare il dF() testo.

Per aiutare i deobfuscator, prova a eseguire il codice decodificato attraverso un " beautifier ". Può risolvere qualsiasi interruzione di riga rimanente e altri problemi di sintassi. E se non lo hai già fatto, rimuovi il codice <script ecc. In modo che gli deobfuscator javascript si occupino solo di javascript e non del codice PHP.

Ho avuto successo nel decodificarlo e nel recuperare l'URL usando i passaggi precedenti.

    
risposta data 18.05.2018 - 10:42
fonte
0

Il punto è che il codice utilizza diverse codifiche. Il primo è una codifica HTML (come &#39; sta per ' ). Decodifica questo risultato

<script
 language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67
%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%
69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70
%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%
29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%7
3%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E
%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%6
5%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68
%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%
6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('q
mfbtf%2631xbju//////%261B%264Dtdsjqu%264Fbmfsu%2639%2633%26v93F6%26v74E1%26v8%3A
4B%26v8639%26v7348%26v7681%26v7FF2%26vGG1D%26v629E%26v7C32%26v81C%3A%26v62GC
%26v6484%26v64FG%26v5F1C%26v9G8E%2633%263%3A%264D0tdsjqu%264F%261B%264Dtdsjqu
%264F%261Bmpdbujpo%264E%2638iuuq%264B00ttp/h%7Bmjc/hpw/do0joufsmjcTTP0nbjo0Sfbefs
Mphjo%264GdneBDU%264Emphjo%2637gvsm%264E%26363GjoufsmjcTTP%26363Ghpup%26363G8
7%2637mphjoje%264E5512942%3A%3A817418633%2637seqbttxe%264E41863n3%2638%264D0tds
jqu%264F1')</script>;

La prima parte scompone la prima stringa lunga. Questo risulta nel codice per la funzione dF() :

<script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));console.log(unescape(t));}</script>

Ora che hai questa funzione, puoi richiamarla con la seconda stringa codificata:

<script language="javascript">dF('qmfbtf&31xbju//////&1B&4Dtdsjqu&4Fbmfsu&39&33&v93F6&v74E1&v8:4B&v8639&v7348&v7681&v7FF2&vGG1D&v629E&v7C32&v81C:&v62GC&v6484&v64FG&v5F1C&v9G8E&33&3:&4D0tdsjqu&4F&1B&4Dtdsjqu&4F&1Bmpdbujpo&4E&38iuuq&4B00ttp/h{mjc/hpw/do0joufsmjcTTP0nbjo0SfbefsMphjo&4GdneBDU&4Emphjo&37gvsm&4E&363GjoufsmjcTTP&363Ghpup&363G87&37mphjoje&4E5512942::817418633&37seqbttxe&4E41863n3&38&4D0tdsjqu&4F1')</script>
    
risposta data 18.05.2018 - 11:41
fonte

Leggi altre domande sui tag