یه فایل مستقل پی اچ پی بود که در چندین لایه کد شده بود
متغییرها در سطح اولیه اینطور بدست اومدند:
کد PHP:
$GLOBALS['OOO0000O0']='base64_decode';$GLOBALS['OOO000O00']='fopen';$GLOBALS['O0O000O00']='fgeds';$GLOBALS['O0O00OO00']='fread';$GLOBALS['OOO00000O']='strtr';$OOO0O0O00=__FILE__;$OO00O0000=444;
$O000O0O00=$GLOBALS['OOO000O00']($OOO0O0O00,'rb');$GLOBALS['O0O00OO00']($O000O0O00,0x539);$OO00O00O0=$GLOBALS['OOO0000O0']($GLOBALS['OOO00000O']($GLOBALS['O0O00OO00']($O000O0O00,0x1a8),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'));eval($OO00O00O0);
و در سطح نهایی این رو داریم :
کد PHP:
<?php$QQ=fopen(__FILE__,'rb');fread($QQ,2471);$WW=base64_decode(strtr(fread($QQ,650),'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgIiJjLlMmPpQqSsVvXxZz0123456789+/=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'));eval($WW);?>InvernCUkr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXLO0xNWLyHA1SmT09NHeEXHr8Xk10PkrfHT0knTyYdk09NTzEXHeEXTZffhtOuTr9tWAxTBZfNHr8XHr9NHeEmbUILTzEXHr8XTzEXRtONTzEXTzEXHeEpRtfydmOlFmlvfbfqDykwBAsKa09aaryiWMkeC0OLOMcuc0lpUMpHdr1sAunOFaYzamcCGyp6HerZHzW1YjF4KUSvNUFSk0ytW0OyOLfwUApRTr1KT1nOAlYAaacbBylDCBkjcoaMc2ipDMsSdB5vFuyZF3O1fmf4GbPXHTwzYeA2YzI5hZ8mhULpK2cjdo9zcUILTzEXHr8XTzEXhTslfMyShtONTzEXTzEXTzEpKX==wEpLcBcpdMaLhtfgULaCOAHmhUnvFJnLDBA7tmklFbapFMagd25jcUImD2iMfo0vcmkidBa3d3kqR2sPRMYvdmY0RmnPFtFpKXpZcby1Dbklb29VC2APk2sPcmOsR2cZCB1lf29ZDZ9qDt5XCbkzcbwVFoiXkZL7tmklFbapFMagd25jcUImD2iMfo0vD2IVcmkidBa3d3kqRmnPFtFpKXPLfunSwe0IdMa3wrswaoasFoxifoAPkuOPDbHSkrswb1OyTanHWaOyb01NOyaHOa9TaylHOaHpKX==bb[rVc@Mn`
اینطور که از ظاهر قضیه پیداست ، همین فایل پی اچ پی رو ، اون حروف رمز شده رو از انتهای متن میخونه ،
بعد از جای گذاری ، تحت مبنای64 استخراج میکنه و اجرا میکنه
این سایت دستورات تغییر میده و بخوبی نمایش نمیده ، فایل مربوطه از آدرس زیر قابل دانلود است :
http://z.b01t.tk/86882.zip
موفق باشی a d m i n @ k i 5 5 . i r
پاسخ : کسی میتونه اینو برام دیکد کنه؟
پاسخ با نقل قول