Autor Zpráva
pogg
Profil
Zdravím...

Nenašla by se tady nějaká hodná duše, která by dokázala rozkódovat tohle:


$REXISTHEDOG4FBI='93EB6EEB1FCD 43060BB 35DF26FD1C2443454B3A798FF729480809AEA61E17CB6E64BDF71DA 03191F3 BC7 84287DD7A96F9 C76DC2A50CA46B160FA2F C25AB20AB28D77FA8498E3ADF13B399F068457CD674EF6BA633DD475BB09A88C76FDA4D8DC6 4177884D7D9B869F95DDE C45FE2D3C9138534DB08AD2 42F16 84EF41E7FFF51FD59AD17498D34D3709C4D8988F55E5F2B94E5DFDB76ED2E78A723D378DE3E26C42C33B44CA5C725B1E0759F35D17AEC2DCEB6E24B43277BE9 E628DD7678E99B5EE6989B723CE 16CF92955A3FB29 D E5E29 042 B5469306681F8 D529CFB57809FB998E7311D7F93F567EA 067F128B4137CE147C53168CE7ADD 742F42763BFEE16 165E0 836AF20CAADF976A482DE7DD770E63E3F743B 520135820BD6EE314B92DA1F823B15881B164FB56C14F8CACE969E868FE1F58FC36A354F75682B09F24CE D6BA4ECCAE5D6E8114E80E11CBC5BFB B3898B92959FF429F3ADA7FA1554F4138 43A 14C1D17134B86C11076BB80C876BA80C8E5 D49E865E97DD3C3D270E4 33798C47CEA 32EA295E86BEE65ACDA 843ED1A4E83AC5EB86BE116 8 2 E2A C226DE3 CC2D024C96DF87EDF164B99E96CE77AA13CED12B6E755D1EAB68D4F6C45F1CFE1709A36DEAA86B658FA578496FC78EE5B4AA825D7 56088C9D05A82C177D2 55C4FAD11 97BAC27DC13B11FC064A696F661BFDE325C516CED14';$REXISTHECAT4FBI='94CD76CD371C5A7BC70C186E779C293B9B49BACA5A781A6';

Koupil jsem skript ale není v něm počeštěná admin zóna jen chci to rozkódovat najít popisky a změnit na české tohle je ukázka nejmenšího souboru ať to moc nezabere je to přihlašení. Popřípadě by byl pak popsat postup jak to bylo provedeno abych mohl rlousknout i ty ostatní. V adminovi když dám zobrazit kód tak je to v pohodě php ale přes ftp ho nemůžu opravit protože je v tomto tvaru....

Díky všem za reakce a pomoc....
Joker
Profil
pogg
Nejsou tam někde přímo ty texty? Zkuste dát vyhledat nějaký text ve zdrojových souborech.
bohyn
Profil
V tom scriptu musi byt funkce ktera to prevede do nejake srozumitelne podoby. Najdi soubory ktere se vkladaji do scriptu ktery generuje admin zonu a tam hledej funkci ktera to prevadi na normalni znaky. Kdyz se ti ji povede najit tak pravdepodobne nebude problem udelat funkci ktera to po prekladu zase zakoduje.
pogg
Profil
V tom scriptu musi byt funkce ktera to prevede do nejake srozumitelne podoby. Najdi soubory ktere se vkladaji do scriptu ktery generuje admin zonu a tam hledej funkci ktera to prevadi na normalni znaky. Kdyz se ti ji povede najit tak pravdepodobne nebude problem udelat funkci ktera to po prekladu zase zakoduje.

no tohle jje celý cobor který se zobrazí:

<?php if(!function_exists('findsysfolder')){function findsysfolder($fld){$fld1=dirname($fld);$fld=$fld1.'/scopbin';clearstatcache();if(!is_dir($fld))return findsysfolder($fld1);else return $fld;}}require_once(findsysfolder(__FILE__).'/911006.php');$REXISTHECAT4FBI='FE50E574D754E76AC679F242F450F768FB5DCB77F34DE341 660C280D176E374DE7FB3B090A782B6B68DBC97BEAD93B681C452F25BE26';g0666f0acdeed38d4cd9084ade1739498(f0666f0acdeed38d4cd9084ade1739498(__FILE__));$REXISTHEDOG4FBI='93EB6EEB1FCD 43060BB 35DF26FD1C2443454B3A798FF729480809AEA61E17CB6E64BDF71DA 03191F3 BC7 84287DD7A96F9 C76DC2A50CA46B160FA2F C25AB20AB28D77FA8498E3ADF13B399F068457CD674EF6BA633DD475BB09A88C76FDA4D8DC6 4177884D7D9B869F95DDE C45FE2D3C9138534DB08AD2 42F16 84EF41E7FFF51FD59AD17498D34D3709C4D8988F55E5F2B94E5DFDB76ED2E78A723D378DE3E26C42C33B44CA5C725B1E0759F35D17AEC2DCEB6E24B43277BE9 E628DD7678E99B5EE6989B723CE 16CF92955A3FB29 D E5E29 042 B5469306681F8 D529CFB57809FB998E7311D7F93F567EA 067F128B4137CE147C53168CE7ADD 742F42763BFEE16 165E0 836AF20CAADF976A482DE7DD770E63E3F743B 520135820BD6EE314B92DA1F823B15881B164FB56C14F8CACE969E868FE1F58FC36A354F75682B09F24CE D6BA4ECCAE5D6E8114E80E11CBC5BFB B3898B92959FF429F3ADA7FA1554F4138 43A 14C1D17134B86C11076BB80C876BA80C8E5 D49E865E97DD3C3D270E4 33798C47CEA 32EA295E86BEE65ACDA 843ED1A4E83AC5EB86BE116 8 2 E2A C226DE3 CC2D024C96DF87EDF164B99E96CE77AA13CED12B6E755D1EAB68D4F6C45F1CFE1709A36DEAA86B658FA578496FC78EE5B4AA825D7 56088C9D05A82C177D2 55C4FAD11 97BAC27DC13B11FC064A696F661BFDE325C516CED14';$REXISTHECAT4FBI='94CD76CD371C5A7BC70C186E779C293B9B49BACA5A781A6'; eval(y0666f0acdeed38d4cd9084ade1739498('9DA4B2D033187F8EA2',$REXISTHEDOG4FBI));?>
XYQ
Profil *
$REXISTHECAT4FBI -> Rex is the cat for FBI - Rex (zrejme zo seriálu komisár rex) je mačka pre FBI...nech je ten web akýkoľvek niečo mi začína smrdieť a vajcia to nebudú...
XYQ
Profil *
$REXISTHEDOG4FBI - rex je pes pre FBI =D...ďakujem pekne, hra na mačka a psa...
XYQ
Profil *
FE50E574D754E76AC679F242F450F768FB5DCB77F34DE341 660C280D176E374DE7FB3B090A782B6B68DBC97BEAD93B681C452F25BE26';g0666f0acdeed38d4cd9084ade1739498(f0666f0acdeed38d4cd9084ade1739498(__FILE__));$REXISTHEDOG4FBI='93EB6EEB1FCD 43060BB 35DF26FD1C2443454B3A798FF729480809AEA61E17CB6E64BDF71DA 03191F3 BC7 84287DD7A96F9 C76DC2A50CA46B160FA2F C25AB20AB28D77FA8498E3ADF13B399F068457CD674EF6BA633DD475BB09A88C76FDA4D8DC6 4177884D7D9B869F95DDE C45FE2D3C9138534DB08AD2 42F16 84EF41E7FFF51FD59AD17498D34D3709C4D8988F55E5F2B94E5DFDB76ED2E78A723D378DE3E26C42C33B44CA5C725B1E0759F35D17AEC2DCEB6E24B43277BE9 E628DD7678E99B5EE6989B723CE 16CF92955A3FB29 D E5E29 042 B5469306681F8 D529CFB57809FB998E7311D7F93F567EA 067F128B4137CE147C53168CE7ADD 742F42763BFEE16 165E0 836AF20CAADF976A482DE7DD770E63E3F743B 520135820BD6EE314B92DA1F823B15881B164FB56C14F8CACE969E868FE1F58FC36A354F75682B09F24CE D6BA4ECCAE5D6E8114E80E11CBC5BFB B3898B92959FF429F3ADA7FA1554F4138 43A 14C1D17134B86C11076BB80C876BA80C8E5 D49E865E97DD3C3D270E4 33798C47CEA 32EA295E86BEE65ACDA 843ED1A4E83AC5EB86BE116 8 2 E2A C226DE3 CC2D024C96DF87EDF164B99E96CE77AA13CED12B6E755D1EAB68D4F6C45F1CFE1709A36DEAA86B658FA578496FC78EE5B4AA825D7 56088C9D05A82C177D2 55C4FAD11 97BAC27DC13B11FC064A696F661BFDE325C516CED14';$REXISTHECAT4FBI='94CD76CD371C5A7BC70C186E779C293B9B49BACA5A781A6';

Podľa mňa je to robené cez layouts akože napr. E3 = '<tr>'; atď;...teda musíš sa v tom hrabať,chceš alebo nie...
pogg
Profil
Podľa mňa je to robené cez layouts akože napr. E3 = '<tr>'; atď;...teda musíš sa v tom hrabať,chceš alebo nie...

no právě je to layout. Celá stavba stránky + proměnné atd.... asi to vzdam.....
XYQ
Profil *
to bude hard...je to good iba vtedy keď máš dočinenia s citlivými dátami a nedá sa použiť XSS (cross site scripting) a tak ti to nik nešlohne (browser php skripty nesťahuje)
pogg
Profil
bohyn
XYQ

Není to tedy možné že je to zapsáno pomoci ASCII 3E = > akorát že by to pak bylo ještě převráceno nebo tak nějak????
XYQ
Profil *
nemyslím žeby lidí,který delali tenhle skript byly takový ********************...
Joker
Profil
pogg
Názorná ukázka výhody open-source...
pogg
Profil
open-source je v klidu taky ho hodně využívám ale tenhle skript je akční s plným zabezpečením a šlape ani nebyl moc drahý ale tohle je prostě oříšek......

XYQ
taky si to myslím ale jeví se to tak..... asi tam bude nějaký chyták..... je to z Indie....
pogg
Profil
bohyn
asi tohle by mohla být ta funkce pro přečtení kódu

<?php ini_set('include_path',dirname(__FILE__));function A4540acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){return $Xew6e79316561733d64abdf00f8e8ae48;}function b5434f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){return $Xew6e79316561733d64abdf00f8e8ae48;}function c43dsd0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){return $Xew6e79316561733d64abdf00f8e8ae48;}function Xdsf0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){return $Xew6e79316561733d64abdf00f8e8ae48;}function y0666f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){$x0b43c25ccf2340e23492d4d3141479dc='';$x71510c08e23d2083eda280afa650b045=0;$x16754c94f2e48aae0d6f34280507be58=strlen($x897356954c2cd3d41b221e3f24f99bba);$x7a86c157ee9713c34fbd7a1ee40f0c5a=hexdec('&H'.substr($x276e79316561733d64abdf00f8e8ae48,0,2));for($x1b90e1035d4d268e0d8b1377f3dc85a2=2;$x1b90e1035d4d268e0d8b1377f3dc85a2<strlen($x276e79316561733d64abdf00f8e8ae48);$x1b90e1035d4d268e0d8b1377f3dc85a2+=2){$xe594cc261a3b25a9c99ec79da9c91ba5=hexdec(trim(substr($x276e79316561733d64abdf00f8e8ae48, $x1b90e1035d4d268e0d8b1377f3dc85a2, 2)));$x71510c08e23d2083eda280afa650b045=(($x71510c08e23d2083eda280afa650b045<$x16754c94f2e48aae0d6f34280507be58)?$x71510c08e23d2083eda280afa650b045 + 1:1);$xab6389e47b1edcf1a5267d9cfb513ce5=$xe594cc261a3b25a9c99ec79da9c91ba5 ^ ord(substr($x897356954c2cd3d41b221e3f24f99bba, $x71510c08e23d2083eda280afa650b045-1, 1));if($xab6389e47b1edcf1a5267d9cfb513ce5<=$x7a86c157ee9713c34fbd7a1ee40f0c5a)$xab6389e47b1edcf1a5267d9cfb513ce5=255+$xab6389e47b1edcf1a5267d9cfb513ce5-$x7a86c157ee9713c34fbd7a1ee40f0c5a;else $xab6389e47b1edcf1a5267d9cfb513ce5=$xab6389e47b1edcf1a5267d9cfb513ce5-$x7a86c157ee9713c34fbd7a1ee40f0c5a;$x0b43c25ccf2340e23492d4d3141479dc=$x0b43c25ccf2340e23492d4d3141479dc.chr($xab6389e47b1edcf1a5267d9cfb513ce5);$x7a86c157ee9713c34fbd7a1ee40f0c5a=$xe594cc261a3b25a9c99ec79da9c91ba5;} return $x0b43c25ccf2340e23492d4d3141479dc;}function f5434f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function j43dsd0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function hdsf0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function tr5434f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function f0666f0acdeed38d4cd9084ade1739498($x) { return implode('',file($x));} function g0666f0acdeed38d4cd9084ade1739498($s){return (strstr($s,'echo')==false?(strstr($s,'print')==false)?(strstr($s,'sprint')==false)?(strstr($s,'sprintf')==false)?false:exit():exit():exit():exit());}function hyr3dsd0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function uygf0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function drfg34f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function jhkgvdsd0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;}function yrdhhdacdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48){if(file_exists($x456e79316561733d64abdf00f8e8ae48)){unlink($x456e79316561733d64abdf00f8e8ae48);};return $Xew6e79316561733d64abdf00f8e8ae48;} ini_set('include_path','.');?>
ass
Profil *
není...je to nečím heslovaní,preložení,vyzerá to jako generovaní kód...jako když prejedeš heslo cez md5 hash a napíšeš ho do dokumentu,skript který týto hashe porovná a zistí o co jde...
XYQ
Profil *
skús hledat vzorec,matiku tabulky a nebo takový...musí to bejt něco takovýho...
bohyn
Profil
Desifrovaci funkce je toto:
function y0666f0acdeed38d4cd9084ade1739498($x897356954c2cd3d41b221e3f24f99bba,$x276e79316561733d64abdf00f8e8ae48) {
  $x0b43c25ccf2340e23492d4d3141479dc = '';
  $x71510c08e23d2083eda280afa650b045 = 0;
  $x16754c94f2e48aae0d6f34280507be58 = strlen($x897356954c2cd3d41b221e3f24f99bba);
  $x7a86c157ee9713c34fbd7a1ee40f0c5a = hexdec('&H'.substr($x276e79316561733d64abdf00f8e8ae48,0,2));
  
  for($x1b90e1035d4d268e0d8b1377f3dc85a2 = 2; $x1b90e1035d4d268e0d8b1377f3dc85a2 < strlen($x276e79316561733d64abdf00f8e8ae48); $x1b90e1035d4d268e0d8b1377f3dc85a2 += 2) {
    $xe594cc261a3b25a9c99ec79da9c91ba5 = hexdec(trim(substr($x276e79316561733d64abdf00f8e8ae48, $x1b90e1035d4d268e0d8b1377f3dc85a2, 2)));
    $x71510c08e23d2083eda280afa650b045 = (($x71510c08e23d2083eda280afa650b045 < $x16754c94f2e48aae0d6f34280507be58) ? $x71510c08e23d2083eda280afa650b045 + 1 : 1);
    $xab6389e47b1edcf1a5267d9cfb513ce5 = $xe594cc261a3b25a9c99ec79da9c91ba5 ^ ord(substr($x897356954c2cd3d41b221e3f24f99bba, $x71510c08e23d2083eda280afa650b045 - 1, 1));
    
    if($xab6389e47b1edcf1a5267d9cfb513ce5 <= $x7a86c157ee9713c34fbd7a1ee40f0c5a) 
      $xab6389e47b1edcf1a5267d9cfb513ce5 = 255 + $xab6389e47b1edcf1a5267d9cfb513ce5 - $x7a86c157ee9713c34fbd7a1ee40f0c5a;
    else 
      $xab6389e47b1edcf1a5267d9cfb513ce5 = $xab6389e47b1edcf1a5267d9cfb513ce5 - $x7a86c157ee9713c34fbd7a1ee40f0c5a;
      
    $x0b43c25ccf2340e23492d4d3141479dc = $x0b43c25ccf2340e23492d4d3141479dc.chr($xab6389e47b1edcf1a5267d9cfb513ce5);
    $x7a86c157ee9713c34fbd7a1ee40f0c5a = $xe594cc261a3b25a9c99ec79da9c91ba5;
  }
  
  return $x0b43c25ccf2340e23492d4d3141479dc;
 }


Prvni parametr je klic podle ktereho se desifruje a druha retezec k desifrovani. Vetsina ostatniho kodu je jen balast a nic nedela.

$REXISTHEDOG4FBI je:
?>1260230400)?exit('Script Expired'):'';?>chkEvaluation()) { if(!isset($_SESSION['adm_id']) && $_SESSION['adm_id'] == "") { $_GET['do'] = (!($_GET['do'] == "login")) ? "slogin" : "login"; include("classes/Lib/Core/Assembler.php"); new Lib_Core_Assembler(); } else { include("classes/Lib/Core/Assembler.php"); new Lib_Core_Assembler(); } } else echo "Key File is Missing Or Corrupted......"; ?>


$REXISTHECAT4FBI je kdovico, mozna dalsi klic.
I am
Profil *
Trochu trapná otázka - nebylo by lepší místo dekódování vždy výsledné vygenerované html projet a najít v něm ona slova a ty poté nahradit českými a pak teprve vypsat stránku? Nebylo by to jednodušší?
XYQ
Profil *
ale kdo se v tomhle má vyznat?...Je to jako voláni a odvolávaní se na jiných (volám fci která ji pošle na dalši atd.) ...to co sis koupil je fakt bomba zahashované...mnoho proměnných s dlouhými nesrozumitelnými názvami...

if($xab6389e47b1edcf1a5267d9cfb513ce5 <= $x7a86c157ee9713c34fbd7a1ee40f0c5a) 
      $xab6389e47b1edcf1a5267d9cfb513ce5 =
255
+ $xab6389e47b1edcf1a5267d9cfb513ce5 - $x7a86c157ee9713c34fbd7a1ee40f0c5a;
zby
Profil *
Sice obnovuji staré vlákno, ale dnes jsem řešil podobný problém a když se na ty funkce člověk trochu líp podívá, tak je to snadné. A jak říkal bohyn... je tam jen jedna dešifrovací funkce (která je asi společná, protože jsem využil kód z PHP, který jsem chtěl dekódovat, na výše uvedený script a fungoval), jeden klíč, podle kterého se dekóduje a řetězec, který se má dekódovat. A samozřejmě spousta zbytečného kódu na zmatení.

Správný kód z výše uvedeného příkladu je:
<?php
session_start();
include("../key.php");
$obj=new Key();
if($obj->chkEvaluation())
{
	if(!isset($_SESSION['adm_id']) && $_SESSION['adm_id'] == "")
	{
		$_GET['do'] = (!($_GET['do'] == "login")) ? "slogin" : "login";
	
		include("classes/Lib/Core/Assembler.php");
		new Lib_Core_Assembler();
	}
	else 
	{
		include("classes/Lib/Core/Assembler.php");
		new Lib_Core_Assembler();
	}
}
else
	echo "Key File is Missing Or Corrupted......";
?>
zby
Profil *
a ještě doplnění: můžete si vytáhnou dekódovací funkci a studovat, a nebo pro ty, kteří by neměli zájem zjistit, jak daný script funguje, tak stačí v každém php souboru úplně na konci zaměnit "eval" za "highlight_string" a přímo se zobrazí požadovaný kód. V tomto případě tedy:

eval(y0666f0acdeed38d4cd9084ade1739498('9DA4B2D033187F8EA2',$REXISTHEDOG4FBI));

nahradit

highlight_string(y0666f0acdeed38d4cd9084ade1739498('9DA4B2D033187F8EA2',$REXISTHEDOG4FBI));

PS: celé to kódování je nejspíš ze dvou důvodů - aby se na kód nikdo zbytečně nedíval a pak asi hlavní důvod, že je omezena platnost daného scriptu... po určeném datu se vypíše jen "Script Expired"...

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: