Задать вопрос
@AKYLA
php

Как расшифровать вредоносный код base64_decode((str_replace(?

Никак не могу расшифровать этот кусок кода, который был найден на проверяемом сайте.
Про переменные понятно, они просто разбиты на куски чтоб нельзя было найти по названию.
В итоге base64 это ($a10=base64_decode((str_replace("\n",'',')

В конце: 
if($a10=gzinflate($a10)){
        if(isset(_POST['d42'])) setcookie('d42',_POST['d42']);
        $a10="".create_function((string)null,$a10);
        unset($k36);
        $a10();


Но вот получить результат из base64 никак не выходит, кроме белеберды, то ли это бинарник какой-то, то ли просто я не правильно что-то делаю. Кто хорошо разбирается в PHP, может поможет переделать код чтоб он выдал верный результат?

Полный код тут https://pastebin.com/tfZnLk6k
  • Вопрос задан
  • 119 просмотров
Комментировать
Подписаться 1 Средний Комментировать
Ответ пользователя Fenix957 К ответам на вопрос (3)
@Fenix957
if($a10=gzinflate($a10)){
Здесь распаковывается сжатая строка и если результат удачный идет далее 
if(isset(_POST['d42'])) setcookie('d42',_POST['d42']);

Здесь проверяется наличие пост параметра возможно используется гдето в дальнейшем. возможно авторизация или чтото еще

$a10="".create_function((string)null,$a10);
Переменная а10 становиться функцией. (string)null обозначает что у функции нет аргументов
$a10) код самой функции кторый был отправлен
unset($k36);
удаляется переменная
$a10();
Вызывается полезная нагрузка только что созданной функции
Ответ написан
Комментировать
Комментировать