• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Decode Obfuscated PHP Script dengan Terminal Linux

October 14, 2015 by Jack Wilder 2 Comments

Beberapa waktu lalu saya mendownload tema wordpress di google. Lah kok baru dipasang, pas dicek di email terkirim via webmail banyak email keluar yang isinya tentang laporan pemasangan tema yang saya download tadi beserta link backdoor nya. Sial, tema nya dikasih log ternyata !
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File

Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.

$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode(‘base64 encoded script’)));return;?>

Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt

maka hasil dari decode nya nanti akan terdapat pada file decode.txt

$O000O0O00=fopen($OOO0O0O00,’rb’);
while(–$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),’EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’,’ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’)));eval($OO00O00O0);

Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.

jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr
‘EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=’
‘ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/’ |
base64 -d > dec.txt

Buka file dec.txt .

Keliatan deh tuyul yang nyelip disitu 😀

Sekian tutor kali ini semoga bermanfaat.

Filed Under: Uncategorized Tagged With: Encode, Linux, PHP Script

Reader Interactions

Comments

  1. Zuhdi Di says

    October 30, 2015 at 9:52 am

    Bismillahirrahmaanirrahiim, Alhamdulillah artikelnya bagus-bagus,menarik dan nampak keahlian yg punya blog.

    Dengan kondisi banyaknya KASUS PEMERKOSAAN , PERZINAHAN …..PELAJAR/MAHASISWA/PEGAWAI/REMAJA/ORG TUA, pemerkosaan ANAK sekolah yang dipicu/disebabkan oleh banyaknya video porno,cerita porno yg terdapat di website baik yg SENGAJA diupload PENJAJAH LUAR NEGERI UTK MERUSAK GENERASI NKRI maupun dari generasi bangsa ini sendiri yg tak sadar perbuatannya tlah meracuni generasi bangsanya.
    YG BERBAHAYA LAGI , SKARANG INI MUDAHNYA SEMUA ANAK REMAJA PUNYA HP ANDROID MENGAKSES SITUS TSB.

    KITA HARUS PEDULI,
    JANGAN SAMPAI AKIBAT BURUK TERJADI PADA ORG TUA KITA, PAMAN BIBI KITA, ABANG KAKAK ADIK KITA, ANAK CUCU CICIT KETURUNAN KITA, KELUARGA KITA AKIBAT STRATEGI PENJAJAH MODERN TSB, NA’UDZUBILLAHI MINZALIK.
    TAK ADA JAMINAN KEAMANAN UTK ITU, KALO KITA TIDAK BERBUAT MELAWANNYA SKARANG.

    Karena itu sudah adakah niat dan usaha BANG ADMIN dan kawan-kawan serta org2 yg peduli utk membuat software yg bisa menghapus website-website porno yg segaja dibuat utk merusak bangsa tercinta ini ????

    Sudah adakah niat dan usaha BANG ADMIN dan kawan-kawan serta org2 yg peduli utk menggunakan software org lain yg bisa menghapus website-website porno yg segaja dibuat utk merusak bangsa tercinta ini ????

    Kalau punya softwarenya mohon dibagi ke kami atau mohon carikan kami,
    atau KALO HARUS DIBAYAR SOFTWARENYA AKAN KAMI BAYAR KALO COCOK HARGA,insyaAllah akan kami gunakan utk melawan (Menghapusnya) website2 porno yg segaja dibuat oleh para penjajah asing. tujuan kami insyaallah agar generasi muda datang tidak tercemar dan rusak,aamiin. Mudah-mudahan jadi amal jariyah.
    KARENA OTAK adalah amanah, waktu adalah amanah, sehat adalah amanah, keahlian-keterampilan-kemampuan-kekuatan adalah amanah dari Allah SWT yg AKAN DIMINTAI PERTANGGUNGJAWABAN DIALAM KUBUR YG SELALU SETIA SETIAP DETIK MENANTI, PENGADILAN PADANG MAHSYAR.
    DAN BERUNTUNGLAH ORG-ORANG YG MENGGUNAKAN AMANAH ITU DENGAN BAIK,Aamiin.

    Karena hidup didunia tidak lama.tidak kekal. AKHIRATLAH YG ABADI

    kami tunggu SEGERA softwarenya di email : [email protected].

    AGAR Isyaallah BISA SEGERA BERFUNGSI MENGHAPUS WEBITE2 PERUSAK,MUMPUNG ALLAH SWT MASIH BERI KAMI DAN KITA HIDUP, MUMPUNG ALLAH SWT MASIH BERI BERFIKIRAN BAIK, MUMPUNG ALLAH SWT MASIH BERI SEHAT,SEMPAT,KUAT.

    UTK DIGUNAKAN MENABUNG/MENGUMPULKAN AMAL BAIK UTK TIKET KENIKMATAN SURGANYA ALLAH SWT DAN TERHINDAR PANASNYA / PEDIHNYA AZAB/NERAKA-NYA.

    JGN SAMPAI MENJADI PENYESALAN DI KUBUR DAN DI AKHIRAT, NA’UDZUBILLAHI MIN DZALIK.

    MOHON SEBARKAN PADA TEMAN/KENALAN YG SATU VISI, DAN INI AMANAH. trima kasih.

    Reply
  2. Siapa Aku? says

    April 19, 2016 at 12:27 am

    ~/exp/dec , kok malah gini mz?
    bash: /home/pw/exp/dec: No such file or directory

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Exploit WordPress Ajax Load More PHP Upload Vulnerability

Deteksi Celah No Redirect pada Suatu Situs menggunakan cURL

Exploit WordPress N-Media Website Contact Form with File Upload 1.3.4 Shell Upload Vulnerability

Uptimerobot.com Custom Domain or Subdomain Takeover

bWAPP Remote File Inclusion Medium Security Level

Azure Traffic Manager Custom Domain or Subdomain Takeover

Upload Backdoor Lewat MySQL Database (phpMyAdmin)

Laravel PHPUnit Remote Code Execution

Cara Mendapatkan RDP Gratis Dengan Shell Windows

MIME Type Sniffing pada Form Upload Gambar

LinuxSec / 10 queries in 0.09 seconds