Decodificar

[Pedro Peres 0]

Ola pessoal, venho tentando decodificar este codigo script php, ate agora sem sucesso.

 

alguem poderia fazer a gentileza? se nao for pedir muito.

 

eval(base64_decode("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"));return;?>

[Bruno Augusto 417]

Primeiro comece trocando esse eval() por um echo.

 

Depois você "embeleza" o código que vai vir numa única linha. Verá que dentro dele há diversos outros eval()'s que fazem coisas estúpidas para o contexto como, por exemplo, armazenar os nomes de funções em variáveis.

 

Você pode ir substituindo um a um até ter todo o código.

[Pedro Peres 0]

fiz o que voce disse, mas o codigo ficou assim:

 

echo(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;echo($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;echo($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);echo($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}echo($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;echo($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}echo($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));echo($lllllllll);return;?>

e quando fui executar pra receber o codigo novamente

 

$lllllllllll='base64_decode';

Fatal error: Function name must be a string in C:\AppServ\www\test\index.php on line 2

[Bruno Augusto 417]

Ah! Já vi! Talvez não tenha ficado muito claro, mas era apenas o primeiro eval() a ser trocado por echo. ^_^

 

Fazendo isso você terá:

 

 

$lll=0;eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;eval($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;eval($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);eval($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}eval($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;eval($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}eval($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));eval($lllllllll);

 

Dentro disso tem diversos eval()'s. Daí, embaixo de cada um você coloca um exit e daí sim troca o eval logo acima por echo.

 

Daí você copia aquilo que resultou (no browser) e substituti todas as ocorrências exatas. Só tome cuidado porque como as variáveis são compostas todas pelo mesmo caracteres, porém em quantidades diferentes, você pode acabar substituindo onde não deve.

[João Batista Neto 448]

Não é muito mais fácil pedir o código para o autor ?

 

Afinal, se você tem permissões sobre o código, o autor não se incomodará sem lhe fornecer o código original.

 

Agora, se você não tem permissões sobre o código, deveria saber que pirataria não é uma coisa legal. <_<

[Bruno Augusto 417]

Pior que é justamente o que parece: A criação de algum tipo de keygen

[Pedro Peres 0]

hehe.. obrigado pela ajuda pessoal, eu concordo cara hehe, mas acontece que peguei esse site aqui pra criar um servidorzinho, e tava afim de fazer umas mudancas, nao consegui achar o criador.. mudancas basicas, como a fonte do site, que por meio deste bloqueio nao consigo mudar nos modos convencionais.. em fim, credito continua sendo dele, nada de pirataria haha, apenas mudancas. :D

 

----

 

o codigo eu deixei assim:

;eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;exit($lllllllllll("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;exit($lllllllllll("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=($llllllllll($l[1])<<8)+$llllllllll($l[2]);exit($lllllllllll("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<$lllllllllllll($l);){if($lllllllll==0){$llllll=($llllllllll($l[$lllll++])<<8);$llllll+=$llllllllll($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=($llllllllll($l[$lllll++])<<4);$lll+=($llllllllll($l[$lllll])>>4);if($lll){$ll=($llllllllll($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=($llllllllll($l[$lllll++])<<8);$ll+=$llllllllll($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=$llllllllll($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=$llllllllll($l[$lllll++]);$llllll<<=1;$lllllllll--;}exit($lllllllllll("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;exit($lllllllllll("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=$llllllllllll($llllllll[$lllll++]^0x07);}exit($lllllllllll("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));exit($lllllllll);return;?>

resultou nisso no browser $llllllllll='ord';

 

hauhua isso eh infinito quanto mais voce tira mais voce acha rsrs!

[Bruno Augusto 417]

Mas é bem isso. Agora você descobriu que $llllllllll (com dez caracteres mais o cifrão) corresponde à função ord.

 

Agora você substitui. Voce verá que irá encontrar $llllllllll( 'alguma_coisa' ). Esses parênteses indicam o uso de uma função.

 

Já que não encontra o criador, o jeito é fazer um por um.

 

Echo, exit, substitui, apaga exit. Echo, exit, substitui, apaga exit...

[Pedro Peres 0]

bom bruno, segui seus passos, fui substituindo um a um.. cheguei em um ponto que quando substituo os resultados obtenho erros.. o mais longe que consegui foi isso:

 

<?php
$o="QAAAOzgKDSNzYn9zJzonI1hAQhEGU1wgAOEgWjwBgG5qZmBiAZAAgmQABHViZnNiLzY3Nys1Ny4B8WVgBghEaGtodQIWANFma2toZAKAJy8jgfADYisnN39BQQBpA7IGQQPfA983f2FhuyQD0F8AYgDAA9s1B78HvD83A+FkMABgfzNEAGED4mFoaQ7RIGtuZWJrKXNzYWYhIAzACsJhcwlxC5U2MysOoCs2MCsSAo4ACuI1KyMD8QEjBOFvYmZjYnUvIESAEAVQYmlzKnN+d2I9JwTiKHdpYHwEIAJBAOIA0AWUATZjYnRzdWh+AXg4OQAACg0KDQ==";eval(base64_decode("JGxsbGxsbGxsbGxsPSdiYXNlNjRfZGVjb2RlJzs="));$ll=0;eval(base64_decode("JGxsbGxsbGxsbGw9J29yZCc7"));$llll=0;$lllll=3;echo(base64_decode("JGw9JGxsbGxsbGxsbGxsKCRvKTs="));$lllllll=0;$llllll=(ord($l[1])<<8)+ord($l[2]);eval(base64_decode("JGxsbGxsbGxsbGxsbGw9J3N0cmxlbic7"));$lllllllll=16;$llllllll="";for(;$lllll<strlen($l);){if($lllllllll==0){$llllll=(ord($l[$lllll++])<<8);$llllll+=ord($l[$lllll++]);$lllllllll=16;}if($llllll&0x8000){$lll=(ord($l[$lllll++])<<4);$lll+=(ord($l[$lllll])>>4);if($lll){$ll=(ord($l[$lllll++])&0x0f)+3;for($llll=0;$llll<$ll;$llll++)$llllllll[$lllllll+$llll]=$llllllll[$lllllll-$lll+$llll];$lllllll+=$ll;}else{$ll=(ord($l[$lllll++])<<8);$ll+=ord($l[$lllll++])+16;for($llll=0;$llll<$ll;$llllllll[$lllllll+$llll++]=ord($l[$lllll]));$lllll++;$lllllll+=$ll;}}else$llllllll[$lllllll++]=ord($l[$lllll++]);$llllll<<=1;$lllllllll--;}echo(base64_decode("JGxsbGxsbGxsbGxsbD0nY2hyJzs="));$lllll=0;echo(base64_decode("JGxsbGxsbGxsbD0iPyIuJGxsbGxsbGxsbGxsbCg2Mik7"));$llllllllll="";for(;$lllll<$lllllll;){$llllllllll.=chr($llllllll[$lllll++]^0x07);}echo(base64_decode("JGxsbGxsbGxsbC49JGxsbGxsbGxsbGwuJGxsbGxsbGxsbGxsbCg2MCkuIj8iOw=="));echo($lllllllll);return;?>

no browser eu pego isso de retorno

 

$l=$lllllllllll($o);$llllllllllll='chr';$lllllllll="?".$llllllllllll(62);$lllllllll.=$llllllllll.$llllllllllll(60)."?";16

 

porem quando vou substituir elas por isso que ele me deu, ele da erro na linha.

[Bruno Augusto 417]

Quando eu testei não obtive uma string tão grande assim após as decodificações.

 

Verifique se não substituiu onde não devia.

 

Ah! E isso pode ajudar a fazer as substituições a partir da segunda.

[Pedro Peres 0]

eh ja testei de tudo auhauhhau! com, sem, com, sem!! desisto rsrs

muito trabalho pra pouca coisa

[Bruno Augusto 417]

Eu fiz aqui, só é chato de se fazer.

 

Se bem que eu não vi lógica no resultado final. Talvez porque não tenho a informação na qual todo o código se baseia ($o).

[Pedro Peres 0]

bom essa pagina, e supostamente pra ser a pagina que edita as imagens, letras, fontes e ETC do site.. se for alguma coisa do tipo no final, deve ser isso mesmo.. eu sou meio noob em php, tentei aqui mas ate agora nao achei meu erro haha!

mas obrigado pela ajuda mesmo assim ; )

[Bruno Augusto 417]

Bom, essa suposição afundou no mar. :lol:

 

Mesmo codificado é visível que o código, sozinho pelo menos, não faz nada disso.

 

Ao que parece, supondo que o código faça parte de uma função, dado um parâmetro (chamado $o), as rotinas "brincam" com ele e geram outra coisa no final.

 

Mas falta lógica nisso pois, depois de decodificado, testar com uma string de três letras funciona, mais que isso começa a dar err nos for-loops ml criados.

[Pedro Peres 0]

hahaha.. entao eu nao sei mesmo viu, porque quando acesso o site, o link do qual se referia a uma imagem no site, nao ia diretamente a pasta de imagens ou coisa do tipo, ela ia diretamente pra essa pagina php, procurei essa GIF de cabo a rabo e nao achei, entao comecei a explorar essa pagina, mas ja que ela nao leva nada.. what the hell!

 

pelomenos eu tentei hehe!

 

copiei isso do codigo fonte da pagina(browser):

<img src="includes/text_image.php?text=REGISTER">

 

text_image.php e o tal arquivo que estamos quebrando a cabeca rsrs! se nao e essa funcao dele nao sei mais entao hehehe!