banjalukaforum.com

Dobrodošli na banjalukaforum.com
Danas je 20 Mar 2019, 16:04

Sva vremena su u UTC [ DST ]




Započni novu temu Odgovori na temu  [ 5 Posta ] 
Autoru Poruka
 Tema posta: Deobfuscate php
PostPoslato: 13 Mar 2019, 16:29 
OffLine
Stara kuka
Stara kuka
Korisnikov avatar

Pridružio se: 18 Jul 2009, 18:07
Postovi: 5777
Lokacija: EAX
Dakle na serveru se pojavila misteriozna php skripta:

https://paste.ofcode.org/khX7zgPNiEZetfTrF4h2dm

Zna li neko efikasan/brz nacin kako da deobfuscate ovo, probao sam rucno raditi echo svake char() funkcije pa kopirati output u string, onda ostale varijable imaju base64 string u sebi koji treba spojiti sa drugim konkatoniranim varijablama, uglavnom teski nered, mogao bi rucno ali bi mi trebalo gomila vremena za ovo, moze li se kako iz memorije direktno izvaditi code funckije _contruct nakon pokretanja skripte?


Vrh
 Profil  
 
 Tema posta: Re: Deobfuscate php
PostPoslato: 13 Mar 2019, 22:21 
OffLine
Pripravnik
Pripravnik
Korisnikov avatar

Pridružio se: 21 Maj 2014, 19:41
Postovi: 171
Boga mi tesko, jedini ti je ovaj tezi put. Zanimljiv ti ovaj skript :)


Vrh
 Profil  
 
 Tema posta: Re: Deobfuscate php
PostPoslato: 13 Mar 2019, 22:37 
OffLine
Veteran
Veteran
Korisnikov avatar

Pridružio se: 28 Feb 2006, 02:36
Postovi: 2939
Zar zelis pokrenuti skriptu? :)

Menscini da nije toliko komplikovano...
- regex -> maknes sve komentare
- izdvojis jedan logicki segment da izdvojis patern ponasanja, da ga dekodiras i onda nekom skrpitom to primjenis na sve ostale

Da li je ovo jedina skripta? Najcesce idu u parovima ili "trojkama", tako da je maliciozni kod u jednoj, "sifarnik" za "prevodjenje" koda u drugoj a "samokopirajuci, multiplicirajuci" kod u trecoj skripti...


De okaci negdje fajl ili postavi kod negdje gdje ga mogu kopirati sa ctrl+a ili shift+page down...

_________________
Popokatepetl je napisao:
...мени очи углавном служе да не упаднем у шахт ходајући улицом...


Vrh
 Profil  
 
 Tema posta: Re: Deobfuscate php
PostPoslato: 14 Mar 2019, 18:07 
OffLine
Stara kuka
Stara kuka
Korisnikov avatar

Pridružio se: 18 Jul 2009, 18:07
Postovi: 5777
Lokacija: EAX
Jasno je meni kako da obrisem komentare regexom i kako ovo radi i sta je to, samo sam pitao ima li brzi nacin, koliko vidim nema nekog paterna samo su varijable i ima ih brdo, nema kriptografije nikakve tu :D

Okacicu kad dodjem kuci.


Vrh
 Profil  
 
 Tema posta: Re: Deobfuscate php
PostPoslato: 14 Mar 2019, 20:11 
OffLine
Stara kuka
Stara kuka
Korisnikov avatar

Pridružio se: 18 Jul 2009, 18:07
Postovi: 5777
Lokacija: EAX
Evo raw pastebin:

https://pastebin.com/raw/USMwdHgT

Zelim pokrenuti jer sam reversao dio koda prije toga koji je bio eval, treba mi samo jos taj _contruct pa da mogu pokrenuti skroz skriptu (a da znam sta tacno radi i kako), nije nista komplikovano ali nemam vremena da idem rucno. Razmisljao sam i o HHVM da kompajliram u opcode pa da probam analizirati opcode ali onda i to mi je puno vremena.

Edit: Mislim da se moze eliminisati vecina @* varijabli jer su junk koliko vidim samo su ti i sa @ ugasena upozorenja za undefined.


Vrh
 Profil  
 
Prikaži postove u poslednjih:  Poređaj po  
Započni novu temu Odgovori na temu  [ 5 Posta ] 

Sva vremena su u UTC [ DST ]


Ko je OnLine

Korisnici koji su trenutno na forumu: Nema registrovanih korisnika i 2 gostiju


Ne možete postavljati nove teme u ovom forumu
Ne možete odgovarati na teme u ovom forumu
Ne možete monjati vaše postove u ovom forumu
Ne možete brisati vaše postove u ovom forumu
Ne možete slati prikačene fajlove u ovom forumu

Pronađi:
Idi na:  
Powered by phpBB® Forum Software © phpBB Group
Hosting BitLab
Prevod - www.CyberCom.rs