正在给新版镜像系统做教程,从一个 VIP 学员那边拿到了一个 LP 用来做演示
简单读了一下源码发现有不对的地方,结果被我抓到了一个后门。
代码有异常的地方看这里,字符串使用了 base64 加密,看着就很可疑的样子。
为了避免造成误会,我特意解密字符串发给会员,看是不是他的。
得到回复
那就有意思了。
之前说了很多次小心 Landing Page 的后门,但是之前都是直接清理,很少去阅读原来的 JS。
经过对各种文件的分析,发现 packages.file 目录下的 utils.js 非常可疑(被加密了)
也就是截图引用的那个 js,内容如下:
非常 Low 的加密方式,解密方法很简单,将图中右下角的 eval 改成 console.log 即可在控制台明文输出源码。
像这样
我们把内容放到编辑器里面,替换掉 utils.js原本的内容。格式化后,关键内容为如下。
所以他就是在 html 中触发 GetDate 这个函数,然后在页面中插入一段 script 引用。
相当于他可以随便控制你页面流量跳转情况了。。。
解密了一下 sul 那串字符串,直接访问发现无法解析,顺手查了一下可否注册。
域名居然是已经过期了,看来是留后门的大佬已经不在意这点小流量了。
注册过来,明天有时间搭建个环境看看有没有流量。
PS:如果我做一个给 LP 加后门的小系统,你可以快速的在你 LP 里面加后门,有一个统计后台可以看到谁用了你的 LP,包括他的域名、流量来路等。你可以随时控制跳转、重写页面 HTML 代码、更改跳转目标地址。感兴趣吗?
感兴趣的话可以团一个,一人188块,10人起团。参团用户后续不用付月费,哈哈哈。
