Open top menu
Wednesday, October 14, 2015

Beberapa waktu lalu saya mendownload tema wordpress di google. Lah kok baru dipasang, pas dicek di email terkirim via webmail banyak email keluar yang isinya tentang laporan pemasangan tema yang saya download tadi beserta link backdoor nya. Sial, tema nya dikasih log ternyata !

Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.

kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.

File yang akan di decode : Link File



Save file nya dengan nama backdoor.php

Kita coba pahami struktur di awal code.

$OOO0O0O00=__FILE__;

$O00O00O00=__LINE__;

$OO00O0000=34764;

eval((base64_decode('base64 encoded script')));return;?>


Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .

Masuk terminal, lalu ketik command

jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt



maka hasil dari decode nya nanti akan terdapat pada file decode.txt

$O000O0O00=fopen($OOO0O0O00,'rb');

while(--$O00O00O00)fgets($O000O0O00,1024);

fgets($O000O0O00,4096);

$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.



jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr \

'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=' \

'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/' | \

base64 -d > dec.txt



Buka file dec.txt .



Keliatan deh tuyul yang nyelip disitu :D



Sekian tutor kali ini semoga bermanfaat.

Tagged
Different Themes
Written by Kcnewbie

Ikatlah ilmu dengan menuliskanya.

0 comments

Subscribe to: Post Comments (Atom)