📰 最近消息
可见其生成位置在 _gct 方法中,跟进去后到 gct4.js 文件,和三代大差不差:至此 e 就分析完了,接着回到第 6238 行,跟进到加密函数 d[$_CBHHO(84)] 中,定义在第 11669 行,d[$_DIEHS(177)](c) + u 即 r 参数的值,c 为一个大数组,u 明显也经过加密了,所以 r 参数的值就是数组 c 加密后再加上 u 得到的:
先跟进到 u,其定义在第 11705 行,解混淆后如下:u = new l["default"]()["encrypt"](i);所以 u 是 i 经过加密后得到的,i 定义在第 11702 行:i = (0,d[$_DIEIq(103)])()跟进到 d[$_DIEIq(103)] 中,定义在第 852 行,又是熟悉的 16 位随机数:
i 是随机数,跟进到加密函数 l[($_DIEHS(84))] 中,在第 12725 行,于 12741 行打下断点,可以看到这里就是个 RSA 加密,扣代码或者直接引库即可:
回到 c 参数,c 参数的值为一个大数组,其定义在第 11705 行,解混淆后内容如下:var c = s[a]["symmetrical"]["encrypt"](e, i);e 之前分析完了,i 为随机数,两个参数已经分析完了,跟进到加密方法中,在第 12174 行,于 12186 行打下断点,控制台打印一下混淆部分内容,很熟悉的东西,这里就是 AES 加密,iv 为初始向量,加密模式为 CBC,对各类加密算法不熟悉的,可以阅读 K 哥文章 【爬虫知识】爬虫常见加密解密算法:
JADX:JADX是一款功能强大的开源工具,用于将APK文件转换为可读的Java源代码。它能够还原大部分Java代码,并提供源代码分析和导航功能。JD-GUI:JD-GUI是一款免费的Java反编译工具,可以将已编译的Java类文件转换为可读的Java源代码。尽管它主要用于Java反编译,但对于某些Smali代码的反编译也有一定的支持
打开py文件,发现样本包含了很长一段的payload,经过多层解压后通过exec来执行代码。exec是恶意样本常用的命令,典型搭配是先用compile将字节串/字符串编译成可执行对象,再用exec触发执行;常见变体包括:eval/exec混用、getattr(builtins, 'exec') 间接调用、通过 globals()/locals() 注入命名空间、lambda/闭包中包裹、以及把payload拆分拼接后再 compile(...,'<string>','exec') 执行,这些都用于绕过静态特征与简单规则。
提权劫持 逆向爬虫 渗透网站 pinned a photo
首先打开 Chrome DevTools 我们在 Network 面板里面,我们发现了这个有意思的接口,但是情况比我们之前预想的要复杂(真正实战中,你也会碰到各种奇葩的变异套路)我这里只是遇到了这一种,看起来貌似它校验了三个不同的参数。滤网采集,提供app名称跟网站来需要渗透,劫持,破解等联系技术:@LieRen66666
当用户建立连接时,其凭据将以明文形式显示给攻击者。RDP InceptionRDPInception是MDSec发现的一种攻击方式。其主要是基于“启动(Startup)”程序,也就是利用大家熟知的“启动项”目录,强制登录进入RDP访客计算机执行恶意代码。为此,MDSec还开发了RDPInception的PoC验证程序,一个简单的批处理脚本。在攻击者已经获得访问权限的工作站上执行批处理脚本,攻击者将会获取到一个shell。
是随机数,跟进到加密函数 l[($_DIEHS(84))] 中,在第 12725 行,于 12741 行打下断点,可以看到这里就是个 RSA 加密,扣代码或者直接引库即可:需要渗透,劫持,破解等联系技术:@LieRen66666