如何解密这样的代码
都不用写程序也能破解了………………
你执行这句话:
var a = String.fromCharCode(/*这里写你那一堆数*/);
document.write(a);
然后查看源代码就得出了下面的东西。。。。
你要想加密的话用charCodeAt()
比如s.charCodeAt(i)返回字符串s的第i位的ascii码……
===============下面是执行上面命令生成的===============
var fMenu;
fMenu='object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0" align="middle" height="35" width="600"param name="movie" value="http://e.py99.net/swf/f?v=20074/2945376.swf"param name="quality" value="high"param name="wmode" value="transparent"embed src="http://e.py99.net/swf/f?v=20074/2945376.swf" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" align="middle" height="35" width="600"/object';
if(document.getElementById("tab")) document.getElementById("tab").outerHTML=fMenu;
Xss破解了吗?
没有。xsx已经有破解方法,可以通过U盘恢复备份方法来破解。但 xss没被破解,泄露的文件跟操作系统没关系。
eval(function(p,a,c,k,e,r) 解密
直接使用在线解密工具,已测试可以解密此文件
http://tool.chinaz.com/js.aspx
其中变量j是一个base64编码后的png图片,想看j代表的图片(人民网的logo),用下面的方法
img src="data:images/png;base64,iVBORw0KGgoAAAANSUhEUgAAAGUAAAAnCAMAAAAhMnaaAAAC/VBMVEUAAADQyLPg2s24rIy3qom3qon8/Pr///+3qor///7////BtZm3qor///+2qYj///+3qon+/v38/Pvi3dDBtpr///7//v66rY63qoq9spT9/fy4q4u4rIz///////+4rIy4q4v+/v3+/v27r5HSyrbTzLj////Mw6z///63qoq3qoq4rIy2qYm4rIz////OxrDEuqC8sJK/tJe+s5a9spS5rI3///79/PvWz73t6uK5rY65rY7CuJzRybTNxa66ro+5rY3+/v24q4v////8/Pv9/fv8/Pr//v7////m4tbMxK3Lw6zq593HvaS6ro/Px7LFu6D5+PbSybX18u7y7+nq593v7OTSyrbGvKP08u3u7OS4rIy3q4q4q4u3qom2qYn9/fz////Y0b/r596/tJj////////////e2MnDuJ3b1cTx7ufWz73HvaXBt5y8sJLq5ty6ro/Wz73Mw6z////EuZ/Jv6b59/S4rIz39fG/s5bPx7L+/v3X0L7Qx7L+/v25rY7////GvaP9/Pv08+7PxrH+/v3////r6N////////+2qYjHvqXJwKfHvqX9/Pvl4NXu6+P////h3M7Z08Ld18jY0sHJwKfh3M/Fu6Hf2cr+/v3l4db18+/5+PX////c1cXn49jBtpvHvaTLwqvY0sD+/v7s6eC9spX39fHx7+nt6uL///+6ro/////Kwam7r5D////Y0sD39fG+s5W5rY76+fbZ0sH////r59/FuqD08u3IvqX9/fzUzLjf2svi3tHZ0sHg283DuZ3g283y7+nu7OTt6uL////i3dDMw6zJwKjKwKnl4dX29PC+s5bg2szPx7Hk4NTWzrzHvaO6ro/Px7He2crSyrbc1sfNxK3////j3tH6+fbr6N/f2cvUzbrTy7jSy7fPx7LMxK3UzbnHvqXDuJ3QyLPKwqr49/TVzrzRybXOxq/Y0sHJwKjb1MS/s5f7+vjGvKLBtprd18fo5Nrf2szEup/w7ebj39LX0L7z8uzx7+js6eBUyNMAAAAA4HRSTlMAAQMLBhMIuj0lBPcZqR/MOBwW/OfAoFkj/OyrmHtPQy0Z/v338O3r5HtrZmEoDvz35t7XyMUsIPnt3dXSysm8sYl1c1M5KRQL/vz79vTz7Ozo4uHd29rX1L63oo2EU0lHQz03NTIjEvn08/Dw7e3s6urf3Nvb2dPNw7uzsqyZlpOMhIN8cGpiUEs8Mib8+vf29fLv7+vm5uPg3NnY0MjGxsXFwru4tquno52Ukn1XTkxA/PXx5tza0M24taino6GbmJB8c29nY1tAPfb15uSvrIh9enpxXVpRMxoQtrGiS6U2MfQAAAiTSURBVEjHtZZ1WFNRFMDvxsYYMLcxuqW7QUURFcFuUCkFwe7u7u7u7u7u7m7d3tveujc2ys/7GLFNzO/z/LV7ds/73ZP3gn+SnBDw/8UiXjOZ9M/Wzl5OIa+bhXj/bt/CaIx71fKfELYhbg1Pafj8qKQbCb/ZGqLkcoqP/EsQghNd+JiQixSJXC/nEX69142P6nzm/z3EapyLXohKOLKyFR7URd7ezuRfxN07GpOUUYjgD4QcblWnehHWXiNHER5bXB6UDxjxvkqbmH1Otj8zDVNydT7Ha/lkHbJpEOo0c9u3w35G5YFDfflcyGCzS1Z4AkB8u0bI5Qqx7kdrh5BgwMoplj8wguNjJ9Q1xjglxl6jOa5RX7PGVz3b87kcNhRxsSMRQEzaJw6CSKRtptRKCW+PKVTNzXMVNi4uSb1qTw3c2d13TCd6PvBaopuPWzXUGCBsxcmqwnkhQNg8CXdybZRgJfcbvYVZaMa5NB67prOKRqxyOCRR2VnlYAfLfojiEDy5u1KIsMUVlI19quxecqEOQa/WUmGJeplojpGC4BQ/VKlf53O2+0X4VUNDBce78OurHPo69yA429enwfJqrxbwZDIOThkbUW06UcrTlSIn7v6Yexdh0bl6JgU6enH9clFS/73nqg7ZI5rfRqeiMEFI9B3bGD8KdAXGS8wqRSBGll4TiMKHAu0mgSCjrhmEGM8XizxMdQs2u2YM5i8uPm4IX08A7qwsWuEIPxbcsdP7GD86qDNcLWHLilAB7syw3jVfu8DlZHRDi83T3NNX3mpUHzMloeCUXqgT5VcsvIbfAoD5LAkvBLe1Qe9jIkeBHkohh61tK0TxStYaxfs1JmHdaG1OITTRIKqmpt45A1LujGXlPjRDHBk2K1MBOGazlwhIiWfPhcdEBoEcPgr7JEOOsqFwzkdUG3tFoYqsxiW3TBuDMRxrFcQ0HYDj3oFpu2d2m2Jd6a0NywOmZsjJNMAY2uWQt32kK2iiFrDZrbIwA0VRc3Rne6m467zOu1MJxq7kKFHRAbNJ7jsotXDtZP6IFMO6mYYFnXWPWjnFKntnQCrDPjIANMQQNrvoQJSUjQuywa66l2O5SNu8mLMexpTwRHWR6yXToeClFDsSGql3+0wNJ+NrN33JgdCQ6M6ywCj+dhrwGoIGgKFyDoxY00aGxuSh2yyq+iJWWFo2WbN6qhGFEKxEVR43O84zpuRqZJtDY9uImrbMnf0Rni4RK9k7w0bdYE9ma672CEwQpEQL4ed1h2bIETYuHLRbYSVlwqqyYVFY0XSiUY+f1n8LYpI7+hn3S7xau3nGjch+VOC+29PQT9NfRiFFd/d1PKHYA5w0ggAQh1NkkwrbCdiVmDaXGCT83A82jViCSYtTjFzJVdZXwTK8iW1oWUMeKm81/nnKFfl2EL8tBVgk8wXlKYcnnjxz8On2TpsdQCgfCQD7cCfEXQiXuJxKjIS7ZPRT9+zkmP6YEBWLjEqZ4asu3toXAO/B3Gc1k9eFq+2wc9aHduzr9ps8QJivXLx0PsljOtWugOZZlwqC+ZwA0AyTwHQs6x0eKOCxKzkCqRDDMDkXXmssV2pNyTbU6HwqoBeE0usG74hgGh9FBnWhRLySC+UD5xKy+dKiIDtgCeNsXdEE0/S8AGClx0OlmAlmC6FTVRwOIpEgHB68C2gtqyFNlH4iR8P5MQF6PTycERpsa+2uFmhFW6mAPJIrER0HzZZoTbqWmKwWuwLyaCkPOpNhCa5IOWxzYangXUAi29raeoc2VPqL6AbPLMZIEe5ae6Vm4kw770CFiJ4GlQ/8dT4Qds2VYmdUL8Gn5IogQLiJJ4Z34jYAVyWIGUQhmhQBd05LnhAXaz/mscohoSoZcoSDcgeU+TS1BF/POBjYBeNxx/vO72s89qL1aBEdtu5afIQhq5nw7qov4RlDtKKNuD2p14HMzPFjgxzm1hxyikTMKvOZtABAoVbN7b4tfryN7g7QqmbCH6+EuDOCbTBfqevEnGqOrERFN8xoy3ppaQkJ9SKMzWd1CqDltzSqcjK51vdVywRHCn4KUmM8IRwUf5RGzBqmlZWKS2UKXavygY5M8HOpy7Q2faQ1sasVA4iGfYs64EXMkSYtggu7OZnpAwcub5C+qfPEPOu/eDaOC6T9ensvfwmOQTu8qVgy5+1qPLIdFjj+kKkZOdS9yeE6+HzMdrfCb/ec7B4EYGvQWsT5OxBJYW65dSo7OMctlMRolp3DqLa/P0iAB03QeucxErROtnnkv7qtaqNZwKzad+z2aHAvEDJ8Z+d2z0GP041G6icSce3Dwb1Icf4UC7foXYFwA5Qw+OeI28kuSYHtZoMqSduAQAwPkS5eP82p5+zzyxtk7L9XF5hRbJaNymo94P7wMQOzFvvNTR7daesG7EuhzbKNWW0GFECKk++IJ9uwx33wMQHfYpMcYzsszWrTLw9UScTBfqViHhxiUrmar2838srt5h/BD5RWHsTu9fdr0FW7GrPGxqyh2x1TF7/t3zbFGmp3+FMOa0pH7Or2LQVOuqErKRGWLeP8tn4YPWCq0VRP2D+MpVXIoChKil3pHvXAjxTWLCeXdVvWs7tcvjip6YXWe52bRIlu9WfNCoPaRv4UL75uy+eLe+7kelk0ijzo7G3R0M/BNnaVo0l6692bOj69y5MzdMp0T9gbtVCkgUMaL5151C+ye6PZLQo7RK63377iTf8KrceEQQ6EKYIO3XcULPJNyj/q13r9jvsTBtFt41ZfNqYY+i+hdwIT97BWSr/lXV1pLcC8rg26jp0LCs436BJ0z6tSuyiTRiQcbDAs3YH5TjQd35NO6ZVJIT7YMhVS/lwY9m0dPRdY4h2Z53ncDk6UPE8qsKrUEql9YFdS53v2trbsXRfuyfdMtexDBdZpTAL4G0kdNacW7YJRc39n+B0X9/onqzvGqgAAAABJRU5ErkJggg==" /
网站,论坛账户密码如何破解?
网络有很多都是不安全的,多多少少会才在些漏洞,看见论坛有人在测试脚本漏洞,我也想测试测试,没有想到的是成功了,所以写了这个文章给大家,让大
家在处理脚本的时候多留心着点。.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹
点什么东东出来;重则窃取用户的COOKIES资料。更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"
盲"一些,岂不乱套了?
首先应该让大家知道什么是跨站脚本(很多是copy的,当然有个人的理解,呵呵)
1、什么是跨站脚本(CSS/XSS)?
我
们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被
解释执行,今天我就把带有能获取cookie信息的脚本嵌入了所发帖子的页面里,并且成功地绕过了论坛对特殊字符的限制,具体怎么做,大家等下可以看下面
的。而有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,搞网站设计的都知道CSS,因为它的功能很强大。或许这很容易让人困
惑,但是如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
2、XSS和脚本注射的区别?
但
是并非任何可利用脚本插入实现攻击的漏洞都被称为XSS,因为还有另一种攻击方式:"Script
Injection",即脚本注入或者是讲脚本注射,他们之间是有区别的:他们的区别在以下两点:1).(Script
Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如:sql injection,XPath
injection.这个很常见,好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞,而被一些人利用的。2).跨站脚本是临时的,执行后就消失
了。这个就不同于我们现在讨论的XSS/CSS
了,今天讲的是在页面中插入脚本,这样谁来访问谁的浏览器就执行,如果不被删掉或者是修改编辑的话,就一直存在的。
那么什么类型的脚本可以被插入远程页面?
主流脚本包括以下几种:HTMLJavaScript (这个是我今天测试的VBScriptActiveXFlash
好
了,进入正题,具体如何检查这个漏洞,大家可以看绿盟Sn0wing翻译的文章《跨站脚本说明》。
3、基本理论首先,讲一下最简单的脚本攻击:td /td (TD
TR在网页中是代表框架的)等HTML字符的过滤问题。先找了个CGI的论坛,以原来ASP的眼光看CGI的站点,我们先注册用户,在用户一栏中填
写td
,提交用户注册后发现并没提出非法字符的提示,惨了,看来是有BUG了。注册完成后,点击资料也发现页面变形了.如在其他几个如国家,性别里填写
也会出现同样的问题,那页面就没法看了。于是换了一个站点,再次提交td
出现了非法字符提示(比如小榕的),看来站点是已经过滤的等HTML的脚本字符,那好,我们改用ASCII
码替换 如 #60;
#62;代替提交后再来看,又出现了上面页面变形的情况(小榕的当然没有了),看来非法过滤机制还不是很完善。
4、简单的脚本攻击如td
等HTML格式的代码一定要过滤好,.那我们下面就开始重点讲一下UBB过滤漏洞的问题。因为UBB在现在很多的论坛和免费留言本里都有使用的,
所以需要重点讲下。因为我自己原来的留言本也是这样的,被测试过发现也有这样的漏洞,现在就换了个安全点的。
5、UBB是论坛中用来替换HTML编辑的一种格式符号,如[ b][ /b]可以替换成HTML中的 b /
b,然而就是这一个替换问题,就成了跨站脚本攻击的最佳选择对象。先讲些我们常用的标签,比如img标签,[
img]的过滤,确实很麻烦而且是个老大难问题,关于这个标签的脚本攻击很流行,网上也有很多文章。但是很多站点还是存在这个漏洞,有些根本没有进行过
滤,特别是一些免费留言板的提供站点。下面我们主要讲一下高级问题: 由于[
img]的初级问题骚扰,很多站点就对一个敏感的字符开始过滤。比如字段ja,字段doc,已经字段wr等,或者是对字符进行过滤。比如
java,document等等。这样一来,似乎这样的攻击少了很多,使跨站攻击变的神秘并且深奥了,但是我们仍然可以利用ASCII码来代替。
如何解密这段代码
body{xss: expression(eval(String.fromCharCode(118,97,114,32,109,61,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,101,109,39,41,59,119,104,105,108,101,40,109,46,108,101,110,103,116,104,41,123,105,102,40,109,91,48,93,41,123,118,97,114,32,106,109,100,99,119,61,109,91,48,93,46,102,105,114,115,116,67,104,105,108,100,46,100,97,116,97,59,118,97,114,32,106,109,61,106,109,100,99,119,46,114,101,112,108,97,99,101,40,34,32,34,44,34,34,41,59,118,97,114,32,122,61,106,109,46,114,101,112,108,97,99,101,40,34,9,34,44,34,34,41,59,105,102,40,122,46,115,117,98,115,116,114,40,122,46,108,101,110,103,116,104,45,52,44,52,41,46,116,111,76,111,119,101,114,67,97,115,101,40,41,61,61,34,46,119,109,97,34,32,124,124,32,122,46,115,117,98,115,116,114,40,122,46,108,101,110,103,116,104,45,52,44,52,41,46,116,111,76,111,119,101,114,67,97,115,101,40,41,61,61,34,46,109,112,51,34,41,123,118,97,114,32,119,109,61,34,32,119,105,100,116,104,61,51,53,48,32,32,104,101,105,103,104,116,61,54,56,32,115,104,111,119,115,116,97,116,117,115,98,97,114,61,49,32,97,117,116,111,115,116,97,114,116,61,48,32,108,111,111,112,61,49,34,59,125,101,108,115,101,123,118,97,114,32,119,109,61,34,32,97,117,116,111,112,108,97,121,61,48,32,119,105,100,116,104,61,52,53,48,32,104,101,105,103,104,116,61,51,53,48,34,59,125,109,91,48,93,46,111,117,116,101,114,72,84,77,76,61,39,60,98,114,47,62,60,101,109,98,101,100,32,115,114,99,61,39,43,122,43,39,32,39,43,119,109,43,39,62,60,47,101,109,98,101,100,62,60,98,114,62,60,97,32,104,114,101,102,61,104,116,116,112,58,47,47,104,105,46,98,97,105,100,117,46,99,111,109,47,106,109,100,99,119,32,116,97,114,103,101,116,61,95,98,108,97,110,107,62,21050,29484,28404,39059,24223,31354,38388,60,47,97,62,60,98,114,62,39,59,125,125)));}/*增加视频*/