Задать вопрос
@unnameds
javascript

Нашел чтото странное, это шелл?

Купил скрипт, платежной системы у человека.
Решил зайти, и нашел странную строку.

<?php
#Была форма отправки
?>
<html>
    <script>
        function a(p, ejs) {
            var oj = JSON.parse(ejs);
            var ecpted = oj.ciphertext;
            var slt = CryptoJS.enc.Hex.parse(oj.salt);
            var iv = CryptoJS.enc.Hex.parse(oj.iv);
            var itrt = oj.itrt;
            var k = CryptoJS.PBKDF2(p, slt, {
                hasher: CryptoJS.algo.SHA512,
                keySize: 64 / 8,
                iterations: itrt
            });
            var dcpted = CryptoJS.AES.decrypt(ecpted, k, {
                iv: iv
            });
            var dcptedmsg = dcpted.toString(CryptoJS.enc.Utf8);
            var cke = "key=" + dcptedmsg + "; max-age=16";
            document.cookie = cke;
            document.cookie = 'key_requested=;expires=Thu, 01 Jan 1970 00:00:01 GMT;';
            setTimeout(function() {
                window.location.reload(true);
            }, 10000);
        }
        a('2cccd2d726bda2bef986da176a81fbab', '{"ciphertext":"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","iv":"b17c3c701e89ff3ba417bd45a176c48e","salt":"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","itrt":666}');
    </script>
</html>


Это шелл? Или как можно расшифровать?
  • Вопрос задан
  • 121 просмотр
1 комментарий
Подписаться 1 Простой 1 комментарий
Решения вопроса 3
lazalu68
@lazalu68
Salmon 
var cke = "key=" + dcptedmsg + "; max-age=16";
document.cookie = cke;
document.cookie = 'key_requested=;expires=Thu, 01 Jan 1970 00:00:01 GMT;';


Шеллу тут взяться неоткуда, скрипт просто чистит печенюху key_requested и устанавливает печенюхе key значение, которое вычисляется из ciphertext

"как можно расшифровать?" - скрипт только этим и занимается, что успешно расшифровывает значение из ciphertext и кладёт его в key. Чтобы расшифровать берёте крипту и прогоняете этот скрипт, только вместо установки печенек выводите в консоль, увидите что конкретно записывается в key.

На первый взгляд не похоже на что-то вредоносное, просто какой-то ключ использующийся платёжной системой. Если опасаетесь чего-то, то думаю просто не переносите эту часть кода на сайт. В случае если в коде были важные для платежной системы данные, то она вам об этом сообщит
Ответ написан
Комментировать
Комментировать
deepblack
@deepblack
После первой итерации получим строку
в Hex
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


Которая после конвертации преобразуется в:
{
   "ciphertext":"XfeMSG3u5fWsig60KWsmht8kXPImMmYbQxrY5JfVMWeJ\/ccvp4akhlVRl7YZwlzh",
   "iv":"34bd2d3de770b867024c0d1ebdfa9cae",
   "salt":"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",
   "itrt":666
}


Которая без Secret Passphrase уже не расшифровывается (2cccd2d726bda2bef986da176a81fbab - не подходит).

Так что наверняка трудно сказать, но лучше не рисковать.
Ответ написан
Комментировать
Комментировать
yakimchuk-ry
@yakimchuk-ry
Оно ставит странную строку в куки, причем, судя по всему, предварительно сгенерированную (как вариант, на этапе установки плагина). Запись в куки это нехорошо, потому что потом, вероятно, эта строка может улететь злоумышленнику, который зная секрет раскодирует данные.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript FullStack разработчик
Rocket Смоленск
от 80 000 до 130 000 ₽
Frontend-разработчик JavaScript
div. Ставрополь
от 40 000 до 90 000 ₽
JavaScript FullStack developer
Wanted. Санкт-Петербург
До 220 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Несложная верстка из Figma bootstrap5 scss npm
18 дек. 2024, в 04:59
1000 руб./в час
Отправка команды на открытие всех окон автомобиля Chery Tiggo 7 Pro
18 дек. 2024, в 03:28
16000 руб./за проект
Установить музыкальный софт
18 дек. 2024, в 01:04
5000 руб./за проект
Ещё заказы