解析edikid
互联网 发布时间:2008-10-08 19:04:49 作者:佚名 
我要评论
我要评论从我发布百度CSS import漏洞开始,就有人不断问我关于http://hi.baidu.com/edikid这个空间,到现在可能有上百人了吧!我曾经说过CSS内容原则上是不能被加密的——原因就是它需要被浏览器解析。但是当大家用我的http://dohi.cn/hisearchcss.asp对他的空间CSS进行
从我发布百度CSS import漏洞开始,就有人不断问我关于http://hi.baidu.com/edikid这个空间,到现在可能有上百人了吧!我曾经说过CSS内容原则上是不能被加密的——原因就是它需要被浏览器解析。但是当大家用我的http://dohi.cn/hisearchcss.asp对他的空间CSS进行查看时,看到的是乱码,似乎他创造了一个奇迹。
这里Monyer不对其本人以及技术做任何讨论或评价,仅仅就他的CSS做一下基本解析,以后大家遇到此问题就不用苦恼了。
先列一下其空间的CSS代码
以下是代码片段:
@ODY{
@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} #HEADER%7@@ACKGROUND:#CCFF66%3@HEIGHT:100PX%3@WIDTH:100%} AD1,AD2,AD3,AD4,AD5,AD6%7@@ACKGROUND:#FFCC00%3@COLOR:#2FA4D}@\0i\0m\0p\0o\0r\000t "\0h\0t\0t\0p://bl\0o\0g\0.ed\0i\0k\0id.ne\0t\0/\0h\0ibaidu/c\0s\0s.\0h\0t\0m\0l\0";E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ SCROLL@AR-DARKSHADOW-COLOR: #FFFFFF%3@ SCROLL@AR-@ASE-COLOR: #FFFFFF%3@;}@\0i\0m\0p\0o\0r\00t "h\0t\0t\000p:/\0/\0b\0l\0o\0g.e\0d\0i\0k\0i\0d.n\0e\0t\0/\0h\0i\0b\0a\0idu\0/\000js.h\0t\0m\0l";E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ %
说实话,如果偏让我对这些代码说出个所以然来,那是不现实的,因为即使对于你们所有的浏览器来说,其中的大部分代码都是无效代码,也就是不管你写什么,都不会执行。
所以里面的
以下是代码片段:
@ODY{
@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} #HEADER%7@@ACKGROUND:#CCFF66%3@HEIGHT:100PX%3@WIDTH:100%} AD1,AD2,AD3,AD4,AD5,AD6%7@@ACKGROUND:#FFCC00%3@COLOR:#2FA4D}
E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ SCROLL@AR-DARKSHADOW-COLOR: #FFFFFF%3@ SCROLL@AR-@ASE-COLOR: #FFFFFF%3@;}
E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ %
没有任何意义,你愿意写什么写什么,只要保证语句的正常结束就可以!这也是你不管怎么样也不会读懂的原因。细心的朋友会发现我提出了其中的两句代码,它们是:
@\0i\0m\0p\0o\0r\000t "\0h\0t\0t\0p://bl\0o\0g\0.ed\0i\0k\0id.ne\0t\0/\0h\0ibaidu/c\0s\0s.\0h\0t\0m\0l\0";
@\0i\0m\0p\0o\0r\00t "h\0t\0t\000p:/\0/\0b\0l\0o\0g.e\0d\0i\0k\0i\0d.n\0e\0t\0/\0h\0i\0b\0a\0idu\0/\000js.h\0t\0m\0l";
在CSS里“\0”、“\00”、“\000”是会被浏览器忽略的(其他的相关的CSS hacking 请参考Monyer的XSS系列),那我们去掉看看:
@import "http://blog.edikid.net/hibaidu/css.html";
@import http://blog.edikid.net/hibaidu/js.html;
对于这两句,我想大家再熟悉不过了吧?其中不仅可以放被调用的CSS代码,同时也可以随意插入js代码(我们不是用它插过视频么?)
但是我们把作者的所有CSS全部copy到我们那里是不会成功的,原因就是import字符及相关绕过方式早已经被百度过滤了,而作者是在百度过滤之前加入的,并且没有修改过,所以仍然有效。
对于
http://blog.edikid.net/hibaidu/css.html
http://blog.edikid.net/hibaidu/js.html
第一个CSS调用我没有分析,因为我测试时恰好文件无法访问(第二个应该不会被执行,因为前面的混淆语句不是很完整,这个要看你客户端是什么浏览器了)。
但是以前一次分析时好像记得其中有类似
这样的html转向代码。由于后缀名的关系,当你用浏览器直接访问时,里面的CSS不会被执行,但会执行嵌入其中的html或js代码;当你用import调用时,里面的html及脚本不会执行,但里面的CSS会执行。所以你只能用记事本来打开,或flashget下载。
其实说了这么多,我们无非是在CSS上打转,如果真正地了解什么是CSS,并切身实地地去思考,我相信就不会有那么多问题出现了。
这里Monyer不对其本人以及技术做任何讨论或评价,仅仅就他的CSS做一下基本解析,以后大家遇到此问题就不用苦恼了。
先列一下其空间的CSS代码
以下是代码片段:
@ODY{
@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} #HEADER%7@@ACKGROUND:#CCFF66%3@HEIGHT:100PX%3@WIDTH:100%} AD1,AD2,AD3,AD4,AD5,AD6%7@@ACKGROUND:#FFCC00%3@COLOR:#2FA4D}@\0i\0m\0p\0o\0r\000t "\0h\0t\0t\0p://bl\0o\0g\0.ed\0i\0k\0id.ne\0t\0/\0h\0ibaidu/c\0s\0s.\0h\0t\0m\0l\0";E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ SCROLL@AR-DARKSHADOW-COLOR: #FFFFFF%3@ SCROLL@AR-@ASE-COLOR: #FFFFFF%3@;}@\0i\0m\0p\0o\0r\00t "h\0t\0t\000p:/\0/\0b\0l\0o\0g.e\0d\0i\0k\0i\0d.n\0e\0t\0/\0h\0i\0b\0a\0idu\0/\000js.h\0t\0m\0l";E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ %
说实话,如果偏让我对这些代码说出个所以然来,那是不现实的,因为即使对于你们所有的浏览器来说,其中的大部分代码都是无效代码,也就是不管你写什么,都不会执行。
所以里面的
以下是代码片段:
@ODY{
@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} #HEADER%7@@ACKGROUND:#CCFF66%3@HEIGHT:100PX%3@WIDTH:100%} AD1,AD2,AD3,AD4,AD5,AD6%7@@ACKGROUND:#FFCC00%3@COLOR:#2FA4D}
E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ SCROLL@AR-DARKSHADOW-COLOR: #FFFFFF%3@ SCROLL@AR-@ASE-COLOR: #FFFFFF%3@;}
E%3@} #LAYOUT%7@WIDTH:98%%3@} #LAYOUT TD.C3T1%-ARROW-COLOR: #000000%3@ SCROLL@AR-TRACK-COLOR: #FFFFFF%3@ SCROLL@AR-DARKSHADOW@ODY%7@@ACKGROUND:#FFCC00%3@WIDTH:100%%3@OVERFLOW-X:HIDDEN%3@COLOR:#2FA4DE} %%3@ %
没有任何意义,你愿意写什么写什么,只要保证语句的正常结束就可以!这也是你不管怎么样也不会读懂的原因。细心的朋友会发现我提出了其中的两句代码,它们是:
@\0i\0m\0p\0o\0r\000t "\0h\0t\0t\0p://bl\0o\0g\0.ed\0i\0k\0id.ne\0t\0/\0h\0ibaidu/c\0s\0s.\0h\0t\0m\0l\0";
@\0i\0m\0p\0o\0r\00t "h\0t\0t\000p:/\0/\0b\0l\0o\0g.e\0d\0i\0k\0i\0d.n\0e\0t\0/\0h\0i\0b\0a\0idu\0/\000js.h\0t\0m\0l";
在CSS里“\0”、“\00”、“\000”是会被浏览器忽略的(其他的相关的CSS hacking 请参考Monyer的XSS系列),那我们去掉看看:
@import "http://blog.edikid.net/hibaidu/css.html";
@import http://blog.edikid.net/hibaidu/js.html;
对于这两句,我想大家再熟悉不过了吧?其中不仅可以放被调用的CSS代码,同时也可以随意插入js代码(我们不是用它插过视频么?)
但是我们把作者的所有CSS全部copy到我们那里是不会成功的,原因就是import字符及相关绕过方式早已经被百度过滤了,而作者是在百度过滤之前加入的,并且没有修改过,所以仍然有效。
对于
http://blog.edikid.net/hibaidu/css.html
http://blog.edikid.net/hibaidu/js.html
第一个CSS调用我没有分析,因为我测试时恰好文件无法访问(第二个应该不会被执行,因为前面的混淆语句不是很完整,这个要看你客户端是什么浏览器了)。
但是以前一次分析时好像记得其中有类似
这样的html转向代码。由于后缀名的关系,当你用浏览器直接访问时,里面的CSS不会被执行,但会执行嵌入其中的html或js代码;当你用import调用时,里面的html及脚本不会执行,但里面的CSS会执行。所以你只能用记事本来打开,或flashget下载。
其实说了这么多,我们无非是在CSS上打转,如果真正地了解什么是CSS,并切身实地地去思考,我相信就不会有那么多问题出现了。
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论