Boga mi tesko, jedini ti je ovaj tezi put. Zanimljiv ti ovaj skript
| banjalukaforum.com https://banjalukaforum.com/ |
|
| Deobfuscate php https://banjalukaforum.com/viewtopic.php?f=18&t=68424 |
Stranica 1 od 1 |
| Autoru: | Piro [ 13 Mar 2019, 16:29 ] |
| Tema posta: | Deobfuscate php |
Dakle na serveru se pojavila misteriozna php skripta: https://paste.ofcode.org/khX7zgPNiEZetfTrF4h2dm Zna li neko efikasan/brz nacin kako da deobfuscate ovo, probao sam rucno raditi echo svake char() funkcije pa kopirati output u string, onda ostale varijable imaju base64 string u sebi koji treba spojiti sa drugim konkatoniranim varijablama, uglavnom teski nered, mogao bi rucno ali bi mi trebalo gomila vremena za ovo, moze li se kako iz memorije direktno izvaditi code funckije _contruct nakon pokretanja skripte? |
|
| Autoru: | Deckard_Cain [ 13 Mar 2019, 22:21 ] |
| Tema posta: | Re: Deobfuscate php |
Boga mi tesko, jedini ti je ovaj tezi put. Zanimljiv ti ovaj skript
|
|
| Autoru: | NiZ [ 13 Mar 2019, 22:37 ] |
| Tema posta: | Re: Deobfuscate php |
Zar zelis pokrenuti skriptu? Menscini da nije toliko komplikovano... - regex -> maknes sve komentare - izdvojis jedan logicki segment da izdvojis patern ponasanja, da ga dekodiras i onda nekom skrpitom to primjenis na sve ostale Da li je ovo jedina skripta? Najcesce idu u parovima ili "trojkama", tako da je maliciozni kod u jednoj, "sifarnik" za "prevodjenje" koda u drugoj a "samokopirajuci, multiplicirajuci" kod u trecoj skripti... De okaci negdje fajl ili postavi kod negdje gdje ga mogu kopirati sa ctrl+a ili shift+page down... |
|
| Autoru: | Piro [ 14 Mar 2019, 18:07 ] |
| Tema posta: | Re: Deobfuscate php |
Jasno je meni kako da obrisem komentare regexom i kako ovo radi i sta je to, samo sam pitao ima li brzi nacin, koliko vidim nema nekog paterna samo su varijable i ima ih brdo, nema kriptografije nikakve tu  Okacicu kad dodjem kuci. |
|
| Autoru: | Piro [ 14 Mar 2019, 20:11 ] |
| Tema posta: | Re: Deobfuscate php |
Evo raw pastebin: https://pastebin.com/raw/USMwdHgT Zelim pokrenuti jer sam reversao dio koda prije toga koji je bio eval, treba mi samo jos taj _contruct pa da mogu pokrenuti skroz skriptu (a da znam sta tacno radi i kako), nije nista komplikovano ali nemam vremena da idem rucno. Razmisljao sam i o HHVM da kompajliram u opcode pa da probam analizirati opcode ali onda i to mi je puno vremena. Edit: Mislim da se moze eliminisati vecina @* varijabli jer su junk koliko vidim samo su ti i sa @ ugasena upozorenja za undefined. |
|
| Stranica 1 od 1 | Sva vremena su u UTC [ DST ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|