Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   base64+zip decode (https://forum.antichat.xyz/showthread.php?t=149642)

spayder 20.10.2009 01:18
base64+zip decode
 
люди помогите вытянуть данный сабж:
PHP код:
<?php

eval(gzinflate(base64_decode('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')));

?>

я вытягиваю у меня получаеться что то вроде:
PHP код:
include("footer_content.php");

/* original footer links */
/*
echo '<div style="border-top:3px solid #0a5c6b;background-color:#108da5;height:23px;display:block;color:#73e9ff;text-align:center;padding-top:7px;">
<a style="color:#73e9ff;display:inline" href="http://zenverse.net/checkerize-wordpress-theme/">Checkerize</a> designed by <a href="http://zenverse.net/" style="color:#73e9ff;display:inline">ZENVERSE</a>
</div>';
*/

echo '<div  id="footcopy" style="border-top:3px solid #0a5c6b;background-color:#108da5;height:23px;display:block;color:#5dc9dd;text-align:center;padding-top:7px;">
<a style="color:#5dc9dd;display:inline" id="thethemepageurl" href="http://zenverse.net/checkerize-wordpress-theme/">Checkerize</a> designed by <a href="http://www.omnis.com/">Web Hosting</a>. &nbsp;In conjunction with
 <a href="http://webhosting.reviewitonline.net">Web Hosting</a>
 &nbsp;&nbsp;<span style="font-family:tahoma;color:#5dc9dd">|</span>&nbsp;&nbsp; <a href="http://mmohut.com">Free MMORPG</a>
 &nbsp;&nbsp;<span style="font-family:tahoma;color:#5dc9dd">|</span>&nbsp;&nbsp; <a href="http://www.unitedsleuths.com/reverse-phone.html">Reverse Phone Lookup</a>
 
</div>

</div><!--/thousand_wrap-->
</div><!--/page-->';
 
$zenverse_global_google_analytics get_option("zenverse_global_google_analytics");
if ($zenverse_global_google_analytics != "") { echo stripslashes($zenverse_global_google_analytics); }

wp_footer();

echo '</body></html>'
это код footer.php wordpress темы при вставки расшифрованого мной кода не работает отрубаеться нижный сайдбар а он очень нужен код служит для защиты шаблона.Пожалуйста не удаляйте тему.
Заранее спасибо.

ErrorNeo 20.10.2009 02:15
перенес, т.к. к хэшкрекингу сабж не имеет ни малейшего отношения.

Pashkela 20.10.2009 03:35
ну да, код правильный, вот код для расшифровки:

PHP код:
<?php
@set_time_limit(0); 
@ini_set("display_errors","1");

$start "eval(gzinflate(base64_decode('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')));"
preg_match("#(base64_decode(.*))#",$start,$res);
file_put_contents("123.txt"$res[1]);
$flag "base64_decode";
$start 0;
$i 0;
$a trim(file_get_contents('123.txt'));
While (preg_match("#$flag#",$a)) {
   $i++;
   preg_match("#'(.*)'#",$a,$rezz);
   $kod gzinflate(base64_decode(''$rezz[1] . '')); 
   file_put_contents("123.txt"$kod);
   $a trim(file_get_contents('123.txt'));
}
echo "$i rasov! Saved in 123.txt\n";
?>
но тут сразу две подозрительные, нигде необъявленные в расшифрованном коде функции:

PHP код:
$zenverse_global_google_analytics get_option("zenverse_global_google_analytics"); 
if ($zenverse_global_google_analytics != "") { echo stripslashes($zenverse_global_google_analytics); } 

wp_footer(); 
1. get_option()
2. wp_footer()

и единственный инклуд, что есть (или правильнее, что ты привел, возможно в коде выше в твоей странице есть что-то по этому ):

PHP код:
include("footer_content.php"); 
вывод - искать в footer_content.php или где-либо еще эти две функции и смотреть, что они такое вытворяют

nc.STRIEM 20.10.2009 11:03
а как насчет заменить eval на echo ?)))

spayder 20.10.2009 17:49
Цитата:
Сообщение от nc.STRIEM
а как насчет заменить eval на echo ?)))
ну вообще то я так и сделал...

Gray_Wolf 20.10.2009 19:04
Цитата:
Сообщение от nc.STRIEM
а как насчет заменить eval на echo ?)))
Иногда внутри бывает ещё 1 eval...
Я так как-то видел один конфиг-фаил в котором было 200 eval'ов...(админ-дибил видимо не думал что при каждом просмотре любой страницы сайта, ПХП придётся разбирать эти завалы :) )


Время: 18:10