今天看到一个恶意网站,网址是hxxp://0xd9170715/analytics/404.php,开始看还算正常,后来越看越不对劲,因为第一节没有“.”,但是这个地址确实可以加载出代码,原理是什么?仔细一想,以前不是有一个十进制表示IP的方法吗?比如hxxp://127.0.0.1/可以写成hxxp://2130706433/,而用十进制表示的IP来计算原始IP第一步就是先转为16进制,2130706433 (十进制) = 7F000001 (十六进制),然后再把7F000001分成四节,7F.00.00.01 => 127.0.0.1, 这儿是不是也一样呢?把D9170715拆成四份,D9.17.07.15,转成十进制就是217.23.7.21,不过对不对呢?

本文来自www.sacour.cn 转载注明来源

把这个C6 Messenger要下载的文件hxxp://0xd9170715/analytics/flashplayer_10_update.exe换成hxxp://217.23.7.21/analytics/flashplayer_10_update.exe,读取,成功地加载了,看来果然是IP的十六进制表记法。