ハルコタン紀行

hellh.netその2

hellh.netのindex.htmとre.htmをいじってみます。
とりあえずindex.htmを見てみましょう。

Encode? これはMicrosoftのWindows Script Encoderによるものです。
鍵が必要な暗号とかではなく「スクリプトが下手で汚いからちょっと見られたくないな」程度の物なので
昔からデコーダが存在します。Windows Script Decoderなどでなどで検索してコピペするのが楽でしょう。
どうせIEでしか動かないのでVBScriptを使うのが一般的ですが、これはJScriptです。

dda3.net同様にMS06-014です。

同様にre.htmも。

aaaaaなどとごみが入っていますがdda3.netと同様にRealPlayerです。

そして後日、スクリプトが更新されていた!
とりあえずindex.htmを見てみましょう。

前回と同じMS06-014です。

次にre.htmを見てみましょう。

charset=US-ASCII? ASCIIは英数しか無いはずです。
文字コード表を見ると気がつきますが、ASCIIは7bitです。
これに8bit目(128)を足して8bitにした場合にブラウザはどう解釈するのかというと、
IEは7bitとみなしてしまいます(どう実装すべきかRFCなどで決まっているのかは知らない!)。
よって8bit目を除去します(bit演算が泥臭いので方法はお任せします)。

RealPlayerです。

メモ:
8bit目の除去に関しまして中国のCoolDiyer氏に厚く御礼申し上げます。
彼はUS-ASCIIを8bit化するフィルタプログラムをCのソース付きで公開しており、
3文字ほどいじっただけで7bitに戻すフィルタプログラムにすることができました。
敬意を表し「-- Bypassing of web filters by using ASCII Exploit By CoolDiyer --」という心温まるコメントも
そのままにしてあります(「super IE 0Day」を名乗るのもこの亜種です)。
コンパイルにはLSI-C86試食版を用いました。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/03/14(金) 03:45:20|
  2. ウイルス
  3. | トラックバック:1
  4. | コメント:0
<<dda3.netとhellh.netその3 | ホーム | dda3.netその2>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/6-e4f5296b
この記事にトラックバックする(FC2ブログユーザー)

-

管理人の承認後に表示されます
  1. 2017/01/01(日) 08:56:23 |