Обфускация кода (вопросы, просьбы зашифровать/расшифровать скрипт )

Discussion in 'PHP' started by Sharky, 29 Sep 2009.

  1. hotreboot

    hotreboot New Member

    Joined:
    17 Aug 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. Нужно деобфусцировать 2 php файла общий вес ~400 кб. Всё не так просто и всякие online сервисы, а так же free soft не помогают. Договоримся. Оставляйте согласие в личку.
     
  2. YaroslavT

    YaroslavT New Member

    Joined:
    6 Mar 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Помогите с этим плиз
     

    Attached Files:

  3. LStr1ke

    LStr1ke Elder - Старейшина

    Joined:
    29 Jul 2009
    Messages:
    801
    Likes Received:
    145
    Reputations:
    73
  4. GSLLL

    GSLLL New Member

    Joined:
    9 Dec 2015
    Messages:
    43
    Likes Received:
    2
    Reputations:
    0
  5. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    #1005 artkar, 26 Sep 2017
    Last edited: 26 Sep 2017
    GSLLL likes this.
  6. GSLLL

    GSLLL New Member

    Joined:
    9 Dec 2015
    Messages:
    43
    Likes Received:
    2
    Reputations:
    0

    Большое спасибо.
     
  7. Dark_SteeL

    Dark_SteeL New Member

    Joined:
    18 Nov 2017
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Помогите пожалуйста деобфусцировать (так вроде это называется) 2 файла. Зашифрованы с помощью fopo.com.ar
    Я в этом полнейший чайник, никогда раньше не пробовал даже. Уже второй день копаюсь в инете и без толку
     

    Attached Files:

  8. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Там не всё однозначно, нужно для детализации смотреть проект целиком.

    там условие:
    PHP:
    strcmp(sha1(preg_replace("\xбла-бла",preg_replace("\xбла-бла","",file_get_contents(reset(Array))))),"\xбла-бла-бла")
    и если срабатывает то у functions.php
    то генериться код:
    PHP:
    <?php
    <!DOCTYPE HTML>
    <
    html>
      <
    head>
      <
    title>Enigma SMM Panel Installer</title>
      <
    style>
      
    body {
      
    margin0;
      
    font-familyArial;
      }

      .
    wrapper {
      
    width600px;
      
    margin-leftauto;
      
    margin-rightauto;
      }

      
    input[type="text"], input[type="password"] {
      
    bordernone;
      
    box-shadow0px 0px 15px 0px;
      
    width400px;
      
    padding10px;
      }

      .
    inputs {
      
    text-aligncenter;
      }

      
    input[type="submit"] {
      
    width300px;
      
    padding20px;
      
    background#0095FF;
      
    color#FFFFFF;
      
    bordernone;
      
    box-shadow0px 0px 5px 0px #fff;
      
    margin-top20px;
      }

      
    #result {
      
    text-aligncenter;
      
    margin-top15px;
      
    font-weightbold;
      }
      </
    style>
      </
    head>
      <
    body>
      <
    div class="wrapper">
      <
    form method="POST" id="installation">
      <
    div class="inputs">
      <
    div>
      <
    p><label>MySQL Hosting</p></label>
      <
    input type="text" name="hostname" placeholder="127.0.0.1">
      </
    div>
      <
    div>
      <
    p><label>MySQL Username</p></label>
      <
    input type="text" name="username" placeholder="root">
      </
    div>
      <
    div>
      <
    p><label>MySQL Password</p></label>
      <
    input type="password" name="password" placeholder="root_password">
      </
    div>
      <
    div>
      <
    p><label>MySQL Database</p></label>
      <
    input type="text" name="database" placeholder="database_name">
      </
    div>
      <
    div>
      <
    p><label>License Code</p></label>
      <
    input type="text" name="license" placeholder="xxxx-xxxx-xxxx" maxlength="32">
      </
    div>
      </
    div>
      <
    div style="text-align: center;">
      <
    input type="submit" name="install" value="Install">
      </
    div>
      </
    form>
      <
    div id="result">
      </
    div>
      </
    div>
      </
    body>
    </
    html>
    ?>
    а у install.php тупо сообщение:
    PHP:
    MySQL connection is not configured correct.Check your MySQL connection settings.
     
  9. Dark_SteeL

    Dark_SteeL New Member

    Joined:
    18 Nov 2017
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Отписал в ЛС
     
  10. testumadio

    testumadio New Member

    Joined:
    21 Dec 2017
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Помоги и мне, у меня один в один скрипт, у этих пидоров лёг сайт и перестала работать панель :(
    Готов даже заплатить :)

    telegram
    @TSavchuk
     
  11. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    у меня телеграмма нет,
    и я не беру деньги за крак, хак или криптоанализ в соответствии с "A Cypherpunk's Manifesto".
    Кидай в личку Джаббер, посмотрю, но оставляю за собой право отказаться без объяснения причин.
     
  12. Venera

    Venera New Member

    Joined:
    13 Aug 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте!
    Завис сайт на openCart 2x из за покупных модулей, т.к. сайт разрабов сегодня 15-01-2018 в 15:15 перестал работать.
    Если эти модули отключить сайт отображается, но большинство функционала не работает!!!
    Покупные модули содержат шифрованные файлы, предполагаем что в них есть некий механизм защиты с проверкой IP-шников "91.240.85.191" и "62.109.8.29"

    Вот что выдал strace:
    connect(9, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("91.240.85.191")}, 16) = -1 EINPROGRESS (Operation now in progress) clock_gettime(CLOCK_MONOTONIC, {4246, 717606269}) = 0 poll([{fd=9, events=POLLOUT|POLLWRNORM}], 1, 1500) = 0 (Timeout) getsockopt(9, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 close(9)

    connect(9, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("62.109.8.29")}, 16) = -1 EINPROGRESS (Operation now in progress) clock_gettime(CLOCK_MONOTONIC, {4254, 237651313}) = 0 poll([{fd=9, events=POLLOUT|POLLWRNORM}], 1, 3000) = 0 (Timeout) getsockopt(9, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 close(9)

    Испробовали бесплатные утилиты по расшифровке - результата нет
    Вот первый файл на пробу

    помогите пожалуйста
    заплатим не вопрос!
     
  13. arobesky

    arobesky New Member

    Joined:
    17 Dec 2015
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте. Такая же проблема. Определили какие модули приводят к эависанию?
     
  14. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    829
    Likes Received:
    815
    Reputations:
    90
    Code:
    ~$ dig -x 62.109.8.29 +short
    u-coder.ru.
    ~$ dig -x 91.240.85.191 +short
    addist.ru.
    
    ~$ ping 62.109.8.29
    PING 62.109.8.29 (62.109.8.29) 56(84) bytes of data.
    ^C
    --- 62.109.8.29 ping statistics ---
    3 packets transmitted, 0 received, 100% packet loss, time 2029ms
    
    ~$ ping 91.240.85.191
    PING 91.240.85.191 (91.240.85.191) 56(84) bytes of data.
    ^C
    --- 91.240.85.191 ping statistics ---
    9 packets transmitted, 0 received, 100% packet loss, time 8186ms
    
    выкидывайте эти модули, в strace должно быть видно из какого файла вызов идёт
     
    _________________________
  15. Venera

    Venera New Member

    Joined:
    13 Aug 2015
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    да все от addist.ru

    Addist framework [by addist.ru]
    OcSEO Plus - One click solution v0.10.6 [by addist.ru]
    Breadcrumbs + v0.1.2 [by addist.ru]

    Пришлось отключить и переписать функционал, вот уже вторые сутки восстанавливаем сайт
    Во всех них есть шифрованные файлы которые долбятся на addist.ru с условием, если не виден сайт, то ждать секунду и повторить еще раз подключение - от чего сайт повисает!
     
  16. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    можно уточнить версию ПЭХОПЭ и ионкуб экстеншн, а лучше всю папку с пэхопэ для анализа или ещё лучше под винду.

    И я чёта читнул про ионкуб нихрена не понял где он там шифрует? Расскажите процедуру, вы им даете файли пэхопэ, а они возвращают их зашифрованными? Или сами шифруете? Если сами расскажите как.

    Оцениваю вероятность деобфускации как => 0,36
     
  17. paha1

    paha1 New Member

    Joined:
    1 Feb 2018
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Помогите с расшифровкой JavaScript
     

    Attached Files:

  18. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Выполняет функцию
    Code:
    
    
    function anonymous() {
    var _0x13817=["script","getElementsByTagName","45","src","length",".","split","","game-gear.ru/neptun/NeptunJS.gge","neptunjs.xyz/neptun/gge/NeptunJS.gge","neptunjs.com/neptun/gge/NeptunJS.gge","neptunjs.xyz/neptun/gge/njsLoader.","neptunjs.com/neptun/gge/njsLoader.","neptunjs.com/njs/njsLoader.","neptunjs.xyz/njs/njsLoader.","neptunjs.xyz/njs/NeptunJS.gge","neptunjs.neptunjsv2/nv2/njsLoader.","removeChild","parentNode","createElement","//mem.neptunjs.com/njs/njsLoader.js","appendChild","body","data-name","njs2","setAttribute","//proteus.neptunjs.com/njs/gge/NJS.gge","head","link","href","//proteus.neptunjs.com/njs/css/neptun.css","rel","stylesheet","type","text/css"];
    scriptster= document[_0x13817[1]](_0x13817[0]);
    a251sw8q4s= _0x13817[2];
    ssdw213= scriptster[scriptster[_0x13817[4]]- 1][_0x13817[3]];
    sswq98745= scriptster[scriptster[_0x13817[4]]- 1];
    ddls= ssdw213[_0x13817[6]](_0x13817[5]);
    sdwyyqt51= ddls[ddls[_0x13817[4]]- 2]+ _0x13817[7];
    sdqw4587= ddls[ddls[_0x13817[4]]- 3]+ _0x13817[7];
    smls= ddls[ddls[_0x13817[4]]- 1]+ _0x13817[7];
    lbsc= sdqw4587+ _0x13817[5]+ sdwyyqt51+ _0x13817[5];
    if(lbsc=== _0x13817[8]|| lbsc=== _0x13817[9]|| lbsc=== _0x13817[10]|| lbsc=== _0x13817[11]|| lbsc=== _0x13817[12]|| lbsc=== _0x13817[13]|| lbsc=== _0x13817[14]|| lbsc=== _0x13817[15]|| lbsc=== _0x13817[16])
       {
       nnmvx= 1
       }
    else {
       sswq98745[_0x13817[18]][_0x13817[17]](sswq98745);
       script= document[_0x13817[19]](_0x13817[0]);
       script[_0x13817[3]]= _0x13817[20];
       document[_0x13817[22]][_0x13817[21]](script)
        };
       if(nnmvx=== 1)
           {
           scriptsus= document[_0x13817[19]](_0x13817[0]);
           scriptsus[_0x13817[25]](_0x13817[23],_0x13817[24]);
           scriptsus[_0x13817[3]]= _0x13817[26];
           document[_0x13817[27]][_0x13817[21]](scriptsus);
           style= document[_0x13817[19]](_0x13817[28]);
           style[_0x13817[29]]= _0x13817[30];
           style[_0x13817[31]]= _0x13817[32];
           style[_0x13817[33]]= _0x13817[34];
           document[_0x13817[27]][_0x13817[21]](style)
           }
    }
    
    
    И возвращает 3624
     
    #1018 artkar, 3 Feb 2018
    Last edited: 3 Feb 2018
    paha1 and panic.ker like this.
  19. paha1

    paha1 New Member

    Joined:
    1 Feb 2018
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Спасибо, а не подскажите, что это за кодировка и как или чем ее можно раскодировать?
     
  20. Dartanian

    Dartanian New Member

    Joined:
    6 Mar 2018
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    https://pastebin.com/7WKh0MJF
    расшифруйте пожалуйста и расскажите, как провести такую же фишку
    заранее благодарю