Как расшифровать код?

Question

[EasySeagers]

Здравствуйте! Хотел бы у Вас спросить, как расшифровать подобный PHP-код
eval(gzdecode("‹\x00\x00\x00\x00\x00 и так далее"));
Пробовал делать и echo, и print - ничего не помогло, выдаёт что то похожее на код, но опять же зашифровано.

Comments

[Максим Федоров]

eval -- им часто пользуются для взлома, тк эта конструкция позволяет из текста выполнить php код, то есть внутри шифруют возможность в команду из http запроса вставить код и он выполнится...

Answer 1

[Alex Merfy]

Скиньте полную строку. А вообще,
\x указывает шестнадцатеричную нотацию.
Посмотрите на таблицу ASCII, чтобы увидеть, что представляют 0x00 и подобные символы.

Можете попробовать так:
(с) Оригинал

foreach (str_split(substr($string, [start of data]), 2) as $chunk) {
    $d = unpack("H*data", $chunk);
    $array[] = hexdec($d["data"]);
}

Comments

[EasySeagers]

Вот полная строка
eval(gzdecode("‹\x00\x00\x00\x00\x00ҐXЌoУfяWТЄ‡вхЗЋ“¦UZ'MНТ¤‰УПENм¦.©Э‹н’Ђђ`Fo|h+¬›ђvЗЌЭЖXЫ\x0d(t°©ф@c›ОllлЂ\x7fећЗNЪДҐL§QкЪЇџчщь=ЇsAУ\x5c™+п}sкЧЗџљ)Кі‚.№4]Ре\x5c‹ЦmЯё&\x0c%§ЛЄвЉё[вђ<бnТ¤ВDWW‹FtЩwњ›и–Qћи.JєQT\x5cЅцy3ўДЄ!Й]#\x7fЅEЩGtnґЕёЄ‘…bQ(»›У%f\x22]™µпТ%БярЭч›ѓ{vїb^4+GМЕ.—щ!ьЅ^9iЮ6пљЛЇѕІ»y<ТGЋу\x0c)ЊxТЖ+Б…\x09г‰`°№­9sнч4M3ч~™7ЃQsrtёњҐ{\x0bQТ3›цxi*нсшfЕ6нGпџX?9џ¦)¦ћHјdєD{fsTl“цбсл•хіg]@ТЎэЃБбѕ@ж¬—W—ћЬъфѕ‰’}\x090‰жЅ(/ІЯИE& Ні\x0b«—Ц.\x5cюЮ\x22Ј<ігэГЪшиА¬0ВМ€,s@ип±KS”пыЏЋюѕvЮ\x22M“>P›ўfrxЧ'g#C†Ш?I\x22ньЏПћ¬югБ<’{ЈI9Ао&Ј~РАcШ\x00MМ¦K>/л%ЈCyr¬”у3iЏП\x1bй\x1bЅ№©Дl ’цђ4нЙ“Q0›Nаk‘-џ„`;­U?nфкИТ\x0b†щЙиоД¬ОъHфодтё¤ЕP~СbБ\x7foB#ЅдX\x0d\x00E6”њЊ±ИЁ’0КЅы…СШ\x24(\x1b.@ЉOJzEШе±]~%Myь7.Ўq‰‘Ш8+?)г#\x09лэНз9їќzћ.ПЏ z;.w‚SAitц‹iMЪ\x1bж+§яuйЖЁЂ‚…йB9;ТЋ8\x0c\x24ъaй?iКOіp-ЁЄЁИК”\x00H·юНј­Zљф3ц+КГЬz{юс\x22T1пВE›\x0bЁв«12j?{оО«€РЙЙњ’А(P#ЃэђUЮ‘R!WоЕЂFJа\x0ca@ШяБѓЈзџ;мс`gpрЈ ЧъИ(ќ0bђСю~°5™GСЂo¦у,\x1b‚z\x00ћ`!3:±ЃH€Њfa\x0b[Ж,ЂD%Ѕ‰Y\x0bFЮаzФ<№ЧNxРБЕњпЊpv+DtЈ;9\x0bYҐMT…,\x0dЎ`4т Ho¦УzТ#іюдTи¬—Y™&љГ2†ЫлL€°ЁЪШґУRCJW-)[BюRj\x229\x09BиPu‘µ?Ў‰‘Ѕ5Fd4ЉP С+^+kчп}»суЕ'\x1bPKH»„ф1ЩH`rј\x0aщc—!mЙеcGЧ«…C‡ЉaФЮЮяцќЌзџ_БW6\x0aCROЂЎ{rяЪ\x09АE§•Щ!ХЪчгї7о]ѕ№f\x09¬.U «K№О{KїњГеx>€рВ7зЇѕsnaaщ­‹пZ*Р{§о•›Ы ЧжbrF“tw­НwuеЭН™џЦѕы›)СЦ°ЋЭцЪпOA\x0cЌ’ єCРЁЎЌчх…TF—ВХX8Г‡лFЬµ^щ“µEкгbбFЃhжV‹©™—МdюjИEЙ•ЊЗSёЦСАх№єШ5Ч-”и–•\x5cБwЪ°ЩFБ„ROёыёЁ”‘F9>Ґ№w–rм=h©0xЎ«С%К’ГBмҐX\x5c±ќµqш·d\x22бФ®]M-ІЖUЕ№Ѕ}ем\x0dhAюK[ыrЦиЕ)ў4к’J:,j.Y‘хC3F¶\x00ГЧґ*Iл®>Љ‚.Фо\x0dC»7g¦L†U>U4r:LO-ъ¤¬µпfд \x22p\x09ѓ2\x0cfХЕYЙЧо‘_°Џ+H™€¤‡X*У5‡ЦР?џѓGЁSППCу\x24€†НSZ<–\x09I9U”ЬuлmBA“,їЧ­¶пСЛ3R0ШИ\x7fnЬIZ—Шµ«Ѓ<_TЌ™Њ,ѓХењЄLИщц=‘d|h0Г…6йk/Шx¬ЏKф¤ёxЊи’JІоvPф°lз3Ї…ЗкѓW/U“r0ѕ6\x1bжЛ\x7fVЮvUЮ2Ї›_waјt0~\x0drЃM†SИ@ MПиеz®DU™F,Б±z¬E/ЬY}љЭЏє)!uяж]ч†‹q)·нсМ`њOЅЮие\x1b8PЬ‚i‚Ш\x0c€Њ#И0U@aуBщЎq¶ њRc!QжSI9kи’ыяРQZ\x0b^>¬\x5ch\x0bЉІВҐ2сB|kU4Ш\x0c+)Ѓ\x7fНќ—фЃ±Yt–qо7\x0dґ7DLНNI9Эz’€=ЋШL\x0bҐ\x24TIУyА)dСU#бdW—T,ЄЕЖђ`ЃІЖ'нбслgНDЗ\x0b…НHR°ЩСиHkD7ЉvЪ§CўХRc15Ыч\x0cЄњ’r\x00Ґ:OЩ.Р†Іљ^tїL©6O'Щоjч2~Зpъ№Л:!Э(Ї«m®КY—№\x5cyЫ\x5cІђЅX9г2п‹®К›ж*\x0c­'*oєМ—yЖЩЫ•7!VМe‹ЄтpY­­ј›oYLбб¬y»Ј*cЕь\x09aс>.љ_ЃРіpvЛ6эIђy\x1b†вvнosЛЉNХ!Et{:|uяь­\x7fрLБ µ\x1bj‚r3\x24I¶6^\x00’[9^ѓ…¤Y(|р8+5«h&«к›и…2^ч*Ё\x0d\x09ќ/kШE·5В%(ўлkМ\x7fѕ\x0d(¦>њymµ¶%P]0…rADgU¬Т!љВ@ГY®~\x0aюы7\x1bБsccѕ:8ѓДЬ9+_gз[Ыбrx›Ґ¬З»·R}ыц ?”еwB)ґµГpиvЏџi35ЌO\x09ЙФЂЉJЋЇ\x0aЫkЦ§ЁкB^zyZ4:Ж>+МбAЃpdдџЉґUЪЇќ°\x0a6}C/щ»•H_Z\x09uЧJЃќЈ`#[Љ…Ьd«хгИи‹ђЉ+Rb6Вн—щµy.ч›ђ°+•9Hдfу\x24Ь—ђ„ђбч_@cж/6cѕC_«МAћ^Їјб‚4ЅЋйЉњ0гпљ_Ѓ’Дa§‘iљ¬ќt`°Ў_НИBy\x09 к’м ‡ќѓ~oб',(` (~їщ_aбЃіцNЦб1:v+тЬєlН1ј.uиBC…†Оц§ВЏmПz8®BЙВ‰пч¶ьЈҐz’ъґЪ ФѕтaЌз Ќe=њaЈ*Џј¤сXЎ\x0cµ‚Ѓ~sтУфИhўС0N~[н¶СГEu2 ftх1Ш‚KУ’¦Aкw\x0cЌЈAЕ9Еyђ°Џ«v\x7fzЃзy€~ЁЮ_FЧ-БYGЉ+ЋВU+зѕЉуa\x09›d%Уc}6„\x0dm:Aњ–НЦЎ~<ґКHX\x09Ў/z\x22awЛц’ЃvЪЗkў~d\x1b,ЄѓR2UО„нГЕ\x0b\x0crФќµыђ8ґ}њ4нY«ZкѓSјЛ€a6’^ЪЪ°Х{»єюzЈ\x248”ВlmJ‰}[ил““Z\x0a XLaъzСvґO­шн\x0c®Дѕ¶љKҐr+\x22UХ‰)т(ЖЄг–*ЕN¬¶P‘RЖ}‡Z„а‹Ъ_7†¤ »E°ЗѕїT\x0bҐЃ…Іs|уЧQH>0П;\x7fљљљ јmЋFLґ‹-AјZгЯµ)©ХЭОђTk»—\x22[Ќ…Ж1ИЊн%\x00Oфџв€ы'ФЪЙЮ\x0a;\x0c“ИOыґ‡ј·qиLS”·єБJЛкWцlЏ&eШё2.¦Ь“‚6йHОєпD[UYъЇ'\x00Cѓ‡f6‡/°›џХэшн ѕyн–уЉZ” eЙpj-YзK.’FЎ(эі1ЙI\x00\x00"));

[Alex Merfy]

EasySeagers, дайте файл, видимо некоторые символы скушал парсер Тостера.

[AUser0]

Лучше дайте результат выполнения

file_put_contents("eval_code.php", gzdecode("<\x00\x00........."));

Тобиш содержимое файла eval_code.php.

Answer 2

[Юрий]

да, сначала меняешь eval на echo. это первый уровень. в з-ти от того что выдаст - дальше надо снова смотреть.

расшифровывал много таких бэкдоров, смысла в этом мало. в конце концов там будет код который так же через eval или как то еще выполняет код из куки с определенным названием, либо из пост параметра.

это лишь бэкдор - он дает только дырку, а уж что через нее будут делать - можно понять только расфшировав код, поняв откуда будет приходить код и поставив вместо него ловушку которая эти данные будет сохранять. Останется только ждать когда злоумышленник зайдет воспользоваться ей. Но если не выполнять отправляемый код и не отдавать ответ - злоумышленник сделает простой запрос например весии php- увидит что не работает и уйдет. код нужно выполнять и возвращать, тогда можно будет смотреть что он там делает.