document.write(“< xmp>“+w+”“)
鬼仔注:备份xmp.rar。
来源:余弦函数
JavaScript乱码解密采用这招,实在是非常的方便。比alert与dom节点解密(比如使用document.getElementById获取某个dom节点,然后innerText进去)方便多了。以前我写过《<xmp>标签解密大法》。
今天解密了一个js乱码。一个real的,还有两个不认识我,我也没心情去认识它们。《<xmp>标签解密大法》中有句话是这样的:“将上面红色标记的document.write(w);改为(w.length>1000)?document.write("<xmp>"+w):alert(w);。”
现在不要这样改了,麻烦,直接改为document.write("<xmp>"+w+"</xmp>"),即可将多处乱码一口气解出,原理不再重复。
相关文件:http://evilcos.googlepages.com/xmp.rar 。(三个ShellCode)
【后记:】
ShellCode很好玩。
希望明天能将那个可恶的百度空间统计功能跨掉!这已经是第三次失败了。成功之后就可以定向攻击。最近也都不想玩跨站,自从将WEB2.0WORM原理剖析完,之后写了几个大网站的WEB2.0WORM,似乎没什么神秘可言,更“前卫”的手段在哪,那几个WORM还在那睡眠着,那就一直睡下去吧,适可而止。XSS/CSRF学问真多,新技术、新手段不时地冒出来,吓人。
