Cara Mudah Decode Obfuscated PHP Script dengan Terminal Linux

Rabu, 07 Oktober 2015

banyak alasan kenapa sebuah file di enkripsi. Untuk melindngi file dari pencuri, mengkompress ukuran file dan lain lain. Namun tidak jarang kompresi file digunakan untuk kepentingan usil. Contohnya menyisipkan backdoor di file yang mereka share. Sehingga agar data kita tidak di curi kita harus men-decode file nya. Contohnya ketika saya mendownload wordpress theme nulled, ternyata ada logger di dalamnya.
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File

Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.
$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode('base64 encoded script')));return;?>

Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt

maka hasil dari decode nya nanti akan terdapat pada file decode.txt
$O000O0O00=fopen($OOO0O0O00,'rb');
while(--$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.

jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr \
'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=' \
'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/' | \
base64 -d > dec.txt

Buka file dec.txt .

Keliatan deh tuyul yang nyelip disitu :D

Sekian tutor kali ini semoga bermanfaat.

Artikel Terkait Encode ,PHP

4 komentar:

Fabio Handi mengatakan...

thanks gan infonya,ane lagi belajar pake linux

abayamin exit mengatakan...

wah ane kudu belajar lagi nih gan tentang backdoor diatas supaya data ane kaga kecuri ...thank om gan gan infonya ... udah lupa pake linux lagi

Muhammad Naufal mengatakan...

kudu belajar Linux lagi nih gw.. Thanks dah di share ilmunya

Rizky ID mengatakan...

cara deobfuscate script PHP. biasanya script PHP di diobfuscate supaya script susah di meengerti dan tidak ingin scriptnya di modifikasi, berikut cara deobfuscate: https://www.khoirulrisqi.com/2018/03/tutorial-deobfuscate-script-php-dengan-mudah.html

Posting Komentar