Cara Mudah Decode Obfuscated PHP Script dengan Terminal Linux

banyak alasan kenapa sebuah file di enkripsi. Untuk melindngi file dari pencuri, mengkompress ukuran file dan lain lain. Namun tidak jarang kompresi file digunakan untuk kepentingan usil. Contohnya menyisipkan backdoor di file yang mereka share. Sehingga agar data kita tidak di curi kita harus men-decode file nya. Contohnya ketika saya mendownload wordpress theme nulled, ternyata ada logger di dalamnya.
Beruntung yang digunakan hanya Obfuscator sederhana sehingga cukup mudah untuk di decode.
kali ini saya akan mencoba mendecode script php backdoor yang di Obfuscate.
File yang akan di decode : Link File

Save file nya dengan nama backdoor.php
Kita coba pahami struktur di awal code.
$OOO0O0O00=__FILE__;
$O00O00O00=__LINE__;
$OO00O0000=34764;
eval((base64_decode('base64 encoded script')));return;?>

Nah, ambil bagian base64 nya, lalu simpan dengan nama base64.txt .
Masuk terminal, lalu ketik command
jackwilder@backbox ~/exp/dec % cat base64.txt | base64 -d > decode.txt

maka hasil dari decode nya nanti akan terdapat pada file decode.txt
$O000O0O00=fopen($OOO0O0O00,'rb');
while(--$O00O00O00)fgets($O000O0O00,1024);
fgets($O000O0O00,4096);
$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,372),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);
Nah, kita gunakan command berikut untuk mengambil source file yang telah di obfuscate.

jackwilder@backbox ~/exp/dec % tail -1 backdoor.php | tr \
'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=' \
'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/' | \
base64 -d > dec.txt

Buka file dec.txt .

Keliatan deh tuyul yang nyelip disitu :D

Sekian tutor kali ini semoga bermanfaat.

4 komentar untuk "Cara Mudah Decode Obfuscated PHP Script dengan Terminal Linux"

Comment Author Avatar
thanks gan infonya,ane lagi belajar pake linux
Comment Author Avatar
wah ane kudu belajar lagi nih gan tentang backdoor diatas supaya data ane kaga kecuri ...thank om gan gan infonya ... udah lupa pake linux lagi
Comment Author Avatar
kudu belajar Linux lagi nih gw.. Thanks dah di share ilmunya
Comment Author Avatar
cara deobfuscate script PHP. biasanya script PHP di diobfuscate supaya script susah di meengerti dan tidak ingin scriptnya di modifikasi, berikut cara deobfuscate: https://www.khoirulrisqi.com/2018/03/tutorial-deobfuscate-script-php-dengan-mudah.html

Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.