Decode Obfuscated PHP Script dengan Terminal Linux

Beberapa waktu lalu saya mendownload tema wordpress di google. Lah kok baru dipasang, pas dicek di email terkirim via webmail banyak email keluar yang isinya tentang laporan pemasangan tema yang saya download tadi beserta link backdoor nya. Sial, tema nya dikasih log ternyata !
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File

Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.

$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode(‘base64 encoded script’)));return;?>

Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
[email protected] ~/exp/dec % cat base64.txt | base64 -d > decode.txt

maka hasil dari decode nya nanti akan terdapat pada file decode.txt

$O000O0O00=fopen($OOO0O0O00,’rb’);
while(–$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),’EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’,’ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’)));eval($OO00O00O0);

Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.

[email protected] ~/exp/dec % tail -1 backdoor.php | tr
‘EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’
‘ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’ |
base64 -d > dec.txt

Buka file dec.txt .

Keliatan deh tuyul yang nyelip disitu 😀

Sekian tutor kali ini semoga bermanfaat.

Shares

2 Comments

Leave a Reply