Deobfuscate меня полностью

11.08.2019, 01:50

crlf

Постоянный

Регистрация: 18.03.2016

Сообщений: 663

С нами: 5344886

Репутация: 441

Что-то скучно в разделе, похоже все ковыряют ctf.antichat.com Предлагаю небольшой таск на поразмять серое вещество и чуть-чуть попрогать

Цель - написать универсальный деобфускатор для PHP файлов некой CMS. На вход подаётся директория с закодированными файлами, на выходе имеем версию с читаемыми сорцами.

Вашу реализацию декодера, на любом ЯП, присылайте в ЛС. Предварительно отписав в этой теме, что вы решили таск. Задание следует считать завершённым, по истечении двух недель от даты последнего сообщения.

.SpoilerTarget" type="button">Spoiler: files.zip
global.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]hN0XzNXYsN2LzV2czFGbjdCIuAyQOlEKlNmbv9VZylWdxVmcgsTKnAHaw5CdzVWdxVmUfN
3chx2YvMXZzNXYsN2Jg4CID5USoU2Yu92XlJXa1FXZyByOpcCcoBnLz52b#_#.fXEKYnByal9pD1xAPmBmXC
gJdn1hbF99bw0JKmJqU0J4MiEAfy4vWlNgMEIFXGNQB1cBU252BlwUQwxsal8pNVgsUS9dcQtiDW
UQYVJhQloKUB90CnNZVGQPQDwHZgg/AwtUbA1lFzgENkgBUVMYfl4hCwAhAUd+TXYKeHpnU2paIw
l/DXVcajprWGFYf0lobl9GPF1JXGsAMwVtWyAPUncBH1c1VkV5HCRfWgdgCQJ2CkVsCnoEMWAjWF
0LCjoZOWs3XgIBZAhcIglNYgZ/WXg3RgN+fC4KUjtkWgAAMwZnN3oWOT4BVWUOMhsGNWFLUHdUQX
ZMel5XNQVfAHBbRQBQcghvbn1dYFVqDVJ+XFlqOTFbfSU3Rmp7EVUseXdeBlZ5Snx1aw5rIQFGW1
4iWHombAtWeCtUKGAnDyh0VksdX1obWgd4XlEgdA9ucy0VeCBgTzlrJFBtPHZTLB8jWVMOMhkGNU
8BfXADVnNyalp/NgVNAGBhSgdvCUFvYWEDWwsECnlVfnRnJDVzYCUkR3l9PGEyAQU=.gdGVjaCBX
SEVSRSBpZCA9ICIgLiBpbnR2YWwoJGlkKSk7>#]_:#%%IGlmICghaXNfYXJyYXkoJHJlc3VsdCkp
IHsgZGllKCdVc2VyIG5vdCBmb3VuZCcpOyB9IGlmICgkcmVzdWx0Wydyc3NwYXNzd29yZCddICE9
ICRwYXNzKSB7IGRpZSgn@[[!_UGFzc3dvcmQgaW52YWxpZCcpOyB9IGlmICgkYWRtaW4pIHsgaWY
gKCRyZXN1bHRbJ2lzX2FkbWluJ10pIHsgcmV0dXJuIHRydWU7IH0gZWxzZSB7IGRpZSgnVGVjaCB
p?![@]_]Y2FjaGUyLT5nZ
XRXb3JkcygkbGFuZ3VhZ2UpOyA/Pg==!#_>]
****************************************************************************
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFtSAgAJWQNWUVVRUQcDVlZQ
UQFXAVoIAgUABAJQV1JdX1AOAABZA1cFAl5XAwkNA1dTB1oAUg1SVQABVQsBAFJRAAEHDFMGXgEB
VVsFUFBaVgIL
***************************************************************************/
[/COLOR][COLOR="#007700"]eval([/COLOR][COLOR="#0000BB"]base64_decode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"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=
"[/COLOR][COLOR="#007700"]));
[/COLOR][COLOR="#FF8000"]/**************************************************************************/
[/COLOR][/COLOR]

assets.php

[PHP]
[COLOR="#000000"][COLOR="#007700"]%@zdCI90D
IpcybkdCKn5WayR3U0V2Z+0CdzVWdxVmckgCImlGI7IiPvAici xjIg8GajVGI7kCKkxWa1JmPtIX
ZkFWZ!#!@!pcCcoBnLz52bpR3YuVnZfh2YyFWZzJXZzV3Lz52b pR3Yu
VnZnAiLgMkTJhSZj52bfVmcpVXclJHI7kyJwhGcuQXZ>>_?%%% zNXQfN3chx2YvMXZzNXYsN2Jg4
CID5USoU2Yu92XlJXa1FXZyByOpcCcoBnLzRXZzNXQfN3chx2Y vMXZzNXYsN2J?#!!%!%TMF0XFh
yZulGdy9GclJ3Xy9mcyVGIKAHaw9DP

UPD:

Одному из разминающихся, потребовался дополнительный набор файлов. Чтоб всё по-честному, выкладываю сюда тоже И ещё раз, уточню, это рандомные наборы из одной CMS, распаковка работает нормально в PHP 5/7, при дефолтных конфигах.
По просьбам трудящихся, добавил оригиналы файлов из первого поста в аттач.

Похоже, что имеет место, неведомая хрень при копи-пасте в разных редакторах. Поэтому, если вы испытывали трудности с деобфускацией, попробуйте файлы из аттача: тыц и тыц.

Решили:

@Shubka75

.

𝕏 Twitter Reddit Telegram Копировать ссылку