Раскодировать PHP old

Статус
В этой теме нельзя размещать новые ответы.
Не могли бы вы описать как вам удалось так раскодировать, просто мне надо так раскодировать ещё пару файлов.
Буду очень признателен за помощь.
 
Ребята буду благодарен если расшифруте файл с объяснением , что и как делали, а то я пытаюсь, дохожу до этого и все ступор (:)

PHP:
<?php
$OOO000000 = fg6sbehpra4co_tnd;
$base64_decode = $OOO000000{4} . $OOO000000{9} . $OOO000000{3} . $OOO000000{5};
$base64_decode .= $OOO000000{2} . $OOO000000{10} . $OOO000000{13} . $OOO000000{16};
$base64_decode .= $base64_decode{3} . $OOO000000{11} . $OOO000000{12} . $base64_decode{7} . $OOO000000{5};
$fopen = $OOO000000{0} . $OOO000000{12} . $OOO000000{7} . $OOO000000{5} . $OOO000000{15};
$fgets = $OOO000000{0} . $OOO000000{1} . $OOO000000{5} . $OOO000000{14};
$fgetc = $fgets . $OOO000000{11};
$fgets = $fgets . $OOO000000{3};
$fread = $OOO000000{0} . $OOO000000{8} . $OOO000000{5} . $OOO000000{9} . $OOO000000{16};
$strtr = $OOO000000{3} . $OOO000000{14} . $OOO000000{8} . $OOO000000{14} . $OOO000000{8};
$OOO0O0O00 = 'Z:\home\test.com\www\frontend2.php';
$OO00O0000 = 2652;
$O000O0O00 = $fopen($OOO0O0O00, 'rb');
$fread($O000O0O00, 0x479);


$OO00O00O0 = $base64_decode($strtr($fread($O000O0O00, 0x17c), 'YGOmAfpXyDq2hUMiCNrB651nglz3SZ8vdeJ+/ExIcjkwWLQsTaHtoVFbu0K74PR9=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'));

echo($OO00O00O0); 

?>

Оригинал файла во вложениях
 

Вложения

  • frontend.php.txt
    4,1 KB · Просмотры: 9
Ребята буду благодарен если расшифруте файл с объяснением , что и как делали, а то я пытаюсь, дохожу до этого и все ступор (:)

PHP:
 .....
как расшифровывать - Для просмотра ссылки Войди или Зарегистрируйся
там на втором шаге кодинга- доменная защита. её нжно снимать. откуда скрипт? одному уже делал декодер. + там ещё проверка в паре файлов
 
PHP:
 <?php
if (!defined('LM'))
    die('Попытка взлома?');
if (file_exists('./install') && !file_exists('./install/install.lock')) {
    header("Location: install/index.php");
    exit;
}
include LM_DIR . '/config/config.php';
include LM_DIR . '/config/other.config.php';
include LM_DIR . '/config/mysql.config.php';
include LM_DIR . '/classes/tpl.class.php';
include LM_DIR . '/classes/mysql.class.php';
include LM_DIR . '/classes/auth.class.php';
include LM_DIR . '/classes/mail.class.php';
include LM_DIR . '/classes/main.class.php';
include LM_DIR . '/function/main.php';
include LM_DIR . '/function/filter.php';
if (isset($_GET['langs']) && $main->auth->Check_Auth()) {
    $main->db->query('UPDATE `lm_user` SET `lang`=\'' . $_GET['langs'] . '\' where `id`=\'' . $main->auth->userid . '\'');
    GoBack();
}
$langs = ($main->auth->Check_Auth()) ? $main->auth->langs : $conf['language'];
$game = 'all';
include ROOT_DIR . '/langs/' . $langs . '/main.php';
include LM_DIR . '/modules/up.php';
include LM_DIR . '/modules/month.php';
include LM_DIR . '/modules/banners.php';
if ($conf['online'] == 'off' && (!$main->auth->admin && !isset($_SESSION['lm_admin']))) {
    $main->tpl->load(ROOT_DIR . '/skins/off.php');
    $main->tpl->title('Сайт временно недоступен');
    $main->tpl->set('{off}', $conf['off']);
} elseif ($main->auth->blocked) {
    $main->tpl->load(ROOT_DIR . '/skins/banned.php');
    $main->tpl->title('Вы были забанены на этом ресурсе :(');
    $main->tpl->set('{banned}', $conf['banned']);
} elseif (isset($_GET['a1pay'])) {
    include LM_DIR . '/modules/a1pay.php';
} elseif (isset($_GET['recommend'])) {
    include LM_DIR . '/modules/recommend.php';
} elseif (isset($_GET['players'])) {
    include LM_DIR . '/modules/players.php';
} elseif (isset($_GET['settings'])) {
    include LM_DIR . '/modules/settings.php';
} else {
    $skins = (is_dir(ROOT_DIR . '/skins/' . $conf['skin'])) ? $conf['skin'] : 'default';
    $main->tpl->load(ROOT_DIR . '/skins/' . $skins . '/index.php');
    $main->tpl->set('{theme}', 'skins/' . $skins);
    switch ($_GET['do']) {
        case 'user':
            include LM_DIR . '/modules/user.php';
            $main->tpl->title('Пользователь');
            $main->tpl->set('{main}', $contents);
            $main->tpl->set('{error}', $error);
            break;
        case 'view':
            include LM_DIR . '/modules/view.php';
            $main->tpl->title('Информация');
            $main->tpl->set('{main}', $contents);
            break;
        case 'tag':
            include LM_DIR . '/modules/tag.php';
            $main->tpl->title('Облако тегов');
            $main->tpl->set('{main}', $contents);
            break;
        case 'pick':
            include LM_DIR . '/modules/pick.php';
            $main->tpl->title('Подобрать сервер');
            $main->tpl->set('{main}', $contents);
            break;
        case 'forums':
            include LM_DIR . '/modules/forums.php';
            $main->tpl->title('Форум');
            $main->tpl->set('{main}', $contents);
            break;
        case 'static':
            include LM_DIR . '/modules/static.php';
            $main->tpl->title('Статические страницы');
            $main->tpl->set('{main}', $contents);
            break;
        default :
            include LM_DIR . '/modules/servers.php';
            $main->tpl->title('Мониторинг Игровых Серверов');
            $main->tpl->set('{main}', $contents);
            break;
    }
}
как расшифровывать - Для просмотра ссылки Войди или Зарегистрируйся
там на втором шаге кодинга- доменная защита. её нжно снимать. откуда скрипт? одному уже делал декодер. + там ещё проверка в паре файлов
*** скрытое содержание ***

Скрипт стянут с сайта

Ниже прикрепил еще 2 файла, взяты оттуда-же, шифруются тем же методом. Если тебе не сложно объясни пожалуйста объясни как пользоваться твоим декодером и что делать когда есть привязка к домену, или к другим файлам? Короче говоря что делать в случае:
"там на втором шаге кодинга- доменная защита. её нжно снимать. откуда скрипт? одному уже делал декодер. + там ещё проверка в паре файлов"

Если это конечно не сверх секретная информация. Буду тебе очень благодарен, так как передиочески мне будут попадаться файлы именно с этим типом обфускации, хотел бы лично разобраться как его вскрывают.
 

Вложения

  • 2_files.rar
    16,8 KB · Просмотры: 13
Скрипт стянут с сайта *** скрытое содержание ***

Ниже прикрепил еще 2 файла, взяты оттуда-же, шифруются тем же методом. Если тебе не сложно объясни пожалуйста объясни как пользоваться твоим декодером
в моём коде (что в скрытом сообщении) меняешь в строке
$FILE = './lightmon/find-server.ru/engine/core.php';
./lightmon/find-server.ru/engine/core.php - путь до файла, кторый нужно расшифровать. Сохраняешь его с именеи decoder.php Запускаешь скрипт- decoder.php . Смотришь исходный код страницы.
и что делать когда есть привязка к домену
удалять эти условия. Находить и удалять.
Короче говоря что делать в случае:
"там на втором шаге кодинга- доменная защита. её нжно снимать. откуда скрипт? одному уже делал декодер. + там ещё проверка в паре файлов"
Эти уже убрал при декодинге скрипта

Если это конечно не сверх секретная информация. Буду тебе очень благодарен, так как передиочески мне будут попадаться файлы именно с этим типом обфускации, хотел бы лично разобраться как его вскрывают.
Тут такое дело :
Скртип просто берёт исходник и eval заменяет на echo много раз. Но в исходнике есть привязка к самому файлу- вернее его содержанию (напр, берётся информация начиная с 100 символа и декодируется, затем берётся с 200… ) т.е. сам файл нельзя изменять. А многие просто в самом файле меняют- и ничего не работает. Всё.
Хотя в этом коде на втором или третьем шаге была проверка домена, дальше дело не шло у стандартных декодеров. Её убрал простой заменой этой проверки. В коде уже реализованно.
 
в моём коде (что в скрытом сообщении) меняешь в строке
$FILE = './lightmon/find-server.ru/engine/core.php';
./lightmon/find-server.ru/engine/core.php - путь до файла, кторый нужно расшифровать. Сохраняешь его с именеи decoder.php Запускаешь скрипт- decoder.php . Смотришь исходный код страницы.
удалять эти условия. Находить и удалять.
Эти уже убрал при декодинге скрипта
Тут такое дело :
Скртип просто берёт исходник и eval заменяет на echo много раз. Но в исходнике есть привязка к самому файлу- вернее его содержанию (напр, берётся информация начиная с 100 символа и декодируется, затем берётся с 200… ) т.е. сам файл нельзя изменять. А многие просто в самом файле меняют- и ничего не работает. Всё.
Хотя в этом коде на втором или третьем шаге была проверка домена, дальше дело не шло у стандартных декодеров. Её убрал простой заменой этой проверки. В коде уже реализованно.


Не могу понять что не так, делаю у себя на денвере, беру твой скрипт, называю его decoder.php , внутри скрипта меняю строку на свою:

$FILE = 'D:\WEBSERVER\home\test.com\www\frontend.php';

Запускаю у себя по адресу Для просмотра ссылки Войди или Зарегистрируйся и вижу белый экран, ничего не выводит. Помоги пожалуйста разобраться.
 
РЕбят помогите раскодировать ..
PHP:
<HTML>
<script language='JavaScript'> 
  window.location.href = './index.php'
</script></HTML> <?php
$url = "http://сайт/index.php";

$crypt = "kjsadghft37cb6b6atrbt7u6btwe4yf3645sjxn7ol54bn8sw7clhthsjrkdgnw387vn8shusdthf7dfshgsoigusdalgifghsdfhnvfs
c4yf3645sjxn7ol54bn8sw7clhthsjrkdgnw387vn8shusdtbdvxbmcfzegfzmsgfshfdrbgzsmsdnhvbzx4yf3645sjxn7ol54bn8sw7clhthsjrk
dgnw387vn8shusdthf7dfshgsoi8sw7clhthsjrkdgnw387vn8shusdtbcxvzgxw387vn8shusdtcj4ilg67lsjcfsdtryudruytisejt84se74yf3
645sjxn7ol54bn8sw7clhthsjdtbcxvzgxw387vn8rkdgnw387vn8shusdtcj4ilg67lsjcfsdtryutfrtji7esvg8h78jlksrluiyesuyhujlkgfi
uyes9rt8twsopitypodruyliufjgiousdtlkjsdrilyusdfl8sw7clhths8sw7clhthsjrkdgnw387vn8shus8sw7clhthsjrkdgnw387vn8shusdt
hf7dfshgsopodruyliufjgiousdtlkjsdrilyusdfl8sw7clhths8sw7clhthsjidthf7dfshgsoijrkdgnw387vn8shusdthf7dfshgsoijgdsruy
oigr598sug9ouesilutgdrzugjlkjrthjtdzilutopdrujtoigdrutgsdugjtioes8y4963w876327rusejgkfdlfhutfodiuosdut8dryhjfhghgh
fdizguyfisutryur8yukdrgzujkytiuerytioerusyhtlyhuosper5ugseulgijiguzsdfirsjdderfsdgkshdgyau3yrwalfkhgkjhsdkgdssawrd";
$decrypt = "764329032*345\3/2";
?>
 
весь код выложи

тут нет функции расшифровки, только данные
 
... Скрипт состоит из 2х файлов .. после установки получается не большой код который вылаживал выше.
Я не могу понять что делает этот скрипт .. и что эа $decrypt = "764329032*345\\3/2"; мож это ключ для декодирования ...

Купил для чисто для интереса ...

Файл
install_php.html
PHP:
<html>
<title>Установка скрипта</title>
<body bgcolor="#AAAAAA">
<form action="./setup_php.php" method="get">
<center>
<table align="center">
<tr><td><h1>Установка скрипта</h1></td></tr>
<tr><td>Введите URL  вашего сайта:</td><td><input type="text" name="ipatch" value="http://www.yandex.ru/"></td></tr>
<tr><td>Введите URL главной страницы вашего сайта:</td><td><input type="text" name="url" value="http://www.yandex.ru/index.php"></td></tr>
<tr><td>имя будущего файла накрутчика:</td><td><input type=text name="fname" value="tic_up.php"></td></tr>
<tr><td><input type="submit" align="right" value="Установить"></td><td><input type="reset" value="Отменить"></td></tr>
</table>
</center>
</form>
</body>
</html>

Второй файл - setup_php.php :::
PHP:
<?php
$miurl = $_GET["url"];
$ipatch = $_GET["ipatch"];
$fname = $_GET["fname"];
$gfile = fopen($fname, w) or die ('Не могу создать файл, выставте права на корневую директорию 777');

$body_step1 = "<HTML>
<script language='JavaScript'> 
  window.location.href = './index.php'
</script></HTML> <?php";
fwrite($gfile, $body_step1);

$body_step2 = "
\$url = \"$miurl\";
";
fwrite($gfile, $body_step2);

$body_step3 = '
$crypt = "kjsadghft37cb6b6atrbt7u6btwe4yf3645sjxn7ol54bn8sw7clhthsjrkdgnw387vn8shusdthf7dfshgsoigusdalgifghsdfhnvfs
c4yf3645sjxn7ol54bn8sw7clhthsjrkdgnw387vn8shusdtbdvxbmcfzegfzmsgfshfdrbgzsmsdnhvbzx4yf3645sjxn7ol54bn8sw7clhthsjrk
dgnw387vn8shusdthf7dfshgsoi8sw7clhthsjrkdgnw387vn8shusdtbcxvzgxw387vn8shusdtcj4ilg67lsjcfsdtryudruytisejt84se74yf3
645sjxn7ol54bn8sw7clhthsjdtbcxvzgxw387vn8rkdgnw387vn8shusdtcj4ilg67lsjcfsdtryutfrtji7esvg8h78jlksrluiyesuyhujlkgfi
uyes9rt8twsopitypodruyliufjgiousdtlkjsdrilyusdfl8sw7clhths8sw7clhthsjrkdgnw387vn8shus8sw7clhthsjrkdgnw387vn8shusdt
hf7dfshgsopodruyliufjgiousdtlkjsdrilyusdfl8sw7clhths8sw7clhthsjidthf7dfshgsoijrkdgnw387vn8shusdthf7dfshgsoijgdsruy
oigr598sug9ouesilutgdrzugjlkjrthjtdzilutopdrujtoigdrutgsdugjtioes8y4963w876327rusejgkfdlfhutfodiuosdut8dryhjfhghgh
fdizguyfisutryur8yukdrgzujkytiuerytioerusyhtlyhuosper5ugseulgijiguzsdfirsjdderfsdgkshdgyau3yrwalfkhgkjhsdkgdssawrd";
$decrypt = "764329032*345\\3/2";
?>';
fwrite($gfile, $body_step3);
fclose("$gfile");
echo "Установка успешно завершена, адрес файла накрутчика: $ipatch$fname";
?>


Описание - Инструкция

Установка очень простая и займёт у вас пару минут.
Права на папку главной директории сайта должны стоять 777 скорее всего это папка www или public_html
Если ваш хост поддерживает php
Заливаете php версию скрипта и запускаете установочный файл install_php.html
!!! Правильно заполняете поля!!!
Поле "имя будущего файла накрутчика:" не трогаете!
В случае успешной установки в главной директории вашего сайта создастся файл tic_up.php
И последнее что от вас потребуется: это 20-30 бек ссылок на этот файл желательно с главных! 20-30 ссылок если даже их купить к примеру на sape.ru обойдутся
по рублей от 6-10 приблизительно 30 ссылок обойдутся рублей 250.
Эти ссылки нужны для реалистичности того что ваш сайт действительно имеет ссылочную массу всё остальное сделает скрипт !
В скрипте закодировано то очём вам лучше не знать) пропись атак и прочая нечисть для яшиных ботов.
Гарантия на то что вы не нарвётесь на поисковые санкции к примеру бан или вылет из поиска 100% Проверено.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху