base64+zip decode

Discussion in 'PHP' started by spayder, 20 Oct 2009.

  1. spayder

    spayder New Member

    Joined:
    23 Jan 2009
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    люди помогите вытянуть данный сабж:
    PHP:
    <?php

    eval(gzinflate(base64_decode('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')));

    ?>

    я вытягиваю у меня получаеться что то вроде:
    PHP:
    include("footer_content.php");

    /* original footer links */
    /*
    echo '<div style="border-top:3px solid #0a5c6b;background-color:#108da5;height:23px;display:block;color:#73e9ff;text-align:center;padding-top:7px;">
    <a style="color:#73e9ff;display:inline" href="http://zenverse.net/checkerize-wordpress-theme/">Checkerize</a> designed by <a href="http://zenverse.net/" style="color:#73e9ff;display:inline">ZENVERSE</a>
    </div>';
    */

    echo '<div  id="footcopy" style="border-top:3px solid #0a5c6b;background-color:#108da5;height:23px;display:block;color:#5dc9dd;text-align:center;padding-top:7px;">
    <a style="color:#5dc9dd;display:inline" id="thethemepageurl" href="http://zenverse.net/checkerize-wordpress-theme/">Checkerize</a> designed by <a href="http://www.omnis.com/">Web Hosting</a>. &nbsp;In conjunction with
     <a href="http://webhosting.reviewitonline.net">Web Hosting</a>
     &nbsp;&nbsp;<span style="font-family:tahoma;color:#5dc9dd">|</span>&nbsp;&nbsp; <a href="http://mmohut.com">Free MMORPG</a>
     &nbsp;&nbsp;<span style="font-family:tahoma;color:#5dc9dd">|</span>&nbsp;&nbsp; <a href="http://www.unitedsleuths.com/reverse-phone.html">Reverse Phone Lookup</a>
     
    </div>

    </div><!--/thousand_wrap-->
    </div><!--/page-->'    ;
     
    $zenverse_global_google_analytics get_option("zenverse_global_google_analytics");
    if (    $zenverse_global_google_analytics != "") { echo stripslashes($zenverse_global_google_analytics); }

    wp_footer();

    echo     '</body></html>';
    это код footer.php wordpress темы при вставки расшифрованого мной кода не работает отрубаеться нижный сайдбар а он очень нужен код служит для защиты шаблона.Пожалуйста не удаляйте тему.
    Заранее спасибо.
     
    #1 spayder, 20 Oct 2009
  2. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    перенес, т.к. к хэшкрекингу сабж не имеет ни малейшего отношения.
     
    #2 ErrorNeo, 20 Oct 2009
  3. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    ну да, код правильный, вот код для расшифровки:

    PHP:
    <?php
    @set_time_limit(0); 
    @    ini_set("display_errors","1");

    $start "eval(gzinflate(base64_decode('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')));"
    preg_match("#(base64_decode(.*))#",$start,$res);
    file_put_contents("123.txt"$res[1]);
    $flag "base64_decode";
    $start 0;
    $i 0;
    $a trim(file_get_contents('123.txt'));
    While (    preg_match("#$flag#",$a)) {
           $i++;
           preg_match("#'(.*)'#",$a,$rezz);
           $kod gzinflate(base64_decode(''$rezz[1] . '')); 
           file_put_contents("123.txt"$kod);
           $a trim(file_get_contents('123.txt'));
    }
    echo     "$i rasov! Saved in 123.txt\n";
    ?>
    но тут сразу две подозрительные, нигде необъявленные в расшифрованном коде функции:

    PHP:
    $zenverse_global_google_analytics get_option("zenverse_global_google_analytics"); 
    if (    $zenverse_global_google_analytics != "") { echo stripslashes($zenverse_global_google_analytics); } 

    wp_footer();
    1. get_option()
    2. wp_footer()

    и единственный инклуд, что есть (или правильнее, что ты привел, возможно в коде выше в твоей странице есть что-то по этому ):

    PHP:
    include("footer_content.php");
    вывод - искать в footer_content.php или где-либо еще эти две функции и смотреть, что они такое вытворяют
     
    #3 Pashkela, 20 Oct 2009
  4. nc.STRIEM

    nc.STRIEM Members of Antichat

    Joined:
    5 Apr 2006
    Messages:
    1,036
    Likes Received:
    347
    Reputations:
    292
    а как насчет заменить eval на echo ?)))
     
    _________________________
    #4 nc.STRIEM, 20 Oct 2009
  5. spayder

    spayder New Member

    Joined:
    23 Jan 2009
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    ну вообще то я так и сделал...
     
    #5 spayder, 20 Oct 2009
  6. Gray_Wolf

    Gray_Wolf Active Member

    Joined:
    7 Mar 2009
    Messages:
    377
    Likes Received:
    135
    Reputations:
    10
    Иногда внутри бывает ещё 1 eval...
    Я так как-то видел один конфиг-фаил в котором было 200 eval'ов...(админ-дибил видимо не думал что при каждом просмотре любой страницы сайта, ПХП придётся разбирать эти завалы :) )
     
    #6 Gray_Wolf, 20 Oct 2009
    1 person likes this.
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.