Broken Code (window31)

"고객님 내용 확인해주세요" 라는 제목의 메일을 아무 생각 없이 클릭했습니다.
daum의 필터링 효과인지 쉘코드가 떡하니 보이더군요 -_-

 


아무리 바빠도 이런 넘들은 그냥 넘어갈 수 없죠 :p
저 쉘코드 안에 뭐가 들어있을까 간단히 빌드 해봤습니다.

#include "stdafx.h" #include "windows.h" int main(int argc, char* argv[]) { static BYTE fuck[] = "\x3C\x73\x63\x72\x69\x70\x74\x3E\x20\x0D\x0A\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x28\x22\x6C\x6F\x63\x61\x74\x69\x6F\x6E\x2E\x68\x72\x65\x66\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x25\x37\x30\x25\x36\x38\x25\x36\x46\x25\x36\x45\x25\x36\x35\x25\x36\x42\x25\x36\x44\x25\x36\x35\x25\x37\x33\x25\x37\x33\x25\x36\x31\x25\x36\x37\x25\x36\x35\x25\x32\x45\x25\x36\x33\x25\x36\x46\x25\x36\x44\x2F\x67\x6F\x6F\x67\x6C\x65\x2F\x33\x2E\x68\x74\x6D\x6C\x27\x22\x2C\x30\x29\x3B\x20\x0D\x0A\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E\x20"; printf((char *)fuck); return 0; }



하하하 재미있는 자바스크립트가 들어있네요. 문자열을 제대로 확인해보고 싶으면
저걸 실제로 IE에 띄워보는게 좋겠군요. 쉘코드를 노트패드에 붙혀넣은 뒤
html 로 저장했습니다.


<script language="javascript"> alert(unescape("\x3C\x73\x63\x72\x69\x70\x74\x3E\x20\x0D\x0A\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x28\x22\x6C\x6F\x63\x61\x74\x69\x6F\x6E\x2E\x68\x72\x65\x66\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x25\x37\x30\x25\x36\x38\x25\x36\x46\x25\x36\x45\x25\x36\x35\x25\x36\x42\x25\x36\x44\x25\x36\x35\x25\x37\x33\x25\x37\x33\x25\x36\x31\x25\x36\x37\x25\x36\x35\x25\x32\x45\x25\x36\x33\x25\x36\x46\x25\x36\x44\x2F\x67\x6F\x6F\x67\x6C\x65\x2F\x33\x2E\x68\x74\x6D\x6C\x27\x22\x2C\x30\x29\x3B\x20\x0D\x0A\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E\x20"));</script>

다만 원본 파일처럼 document.write를 써주면 실제로 코드가 가동되어 버릴 것이므로
그걸 다른 방법으로 대체해야 하겠죠.
따라서 사용한 꽁수는 저 쉘코드를 메시지 박스로 뿌려버리는 방법입니다.
그러면 걍 코드만 문자열로 보여버리겠죠 (uptx에게 배운 꽁수)
그래서 alert()함수로 변경해서 fuck.html로 저장했습니다.




네 드디어 범인이 나왔습니다.
phonekmessage.com 이라는 사이트로 이동시켜서 뭔 광고를 하려나 보네요.
사이트를 방문하게 하려는 것이 목적인 것 같습니다 :p


window31. 2008년 2월.