Cara Mudah Decode Obfuscated PHP Script dengan Terminal Linux

Rabu, 07 Oktober 2015

banyak alasan kenapa sebuah file di enkripsi. Untuk melindngi file dari pencuri, mengkompress ukuran file dan lain lain. Namun tidak jarang kompresi file digunakan untuk kepentingan usil. Contohnya menyisipkan backdoor di file yang mereka share. Sehingga agar data kita tidak di curi kita harus men-decode file nya. Contohnya ketika saya mendownload wordpress theme nulled, ternyata ada logger di dalamnya.
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File

Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.
$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode('base64 encoded script')));return;?>

Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt

maka hasil dari decode nya nanti akan terdapat pada file decode.txt
$O000O0O00=fopen($OOO0O0O00,'rb');
while(--$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.

jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr \
'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=' \
'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/' | \
base64 -d > dec.txt

Buka file dec.txt .

Keliatan deh tuyul yang nyelip disitu :D

Sekian tutor kali ini semoga bermanfaat.

Artikel Terkait Encode ,PHP