Hola,
Estoy utilizando un theme de wordpress y editando el fichero functions.php veo que contiene codigo cifrado no soy capaz decodificar, he probado con varios descriptadores, pero no encuentro la manera de hacerlo, alguien en la materia podria decirme como hacerlo?
gracias
he puesto el codigo aqui para mas comodidad porque en un tag de codigo de aqui, no hay dios que lo lea, a lno tener saltos de linea por ninguna parte sale una linea larga y es un dolor de cabeza. aqui se ve mejor:
http://pastebin.com/FARf3vgNy empezamos.
esto no está cifrado de ninguna forma. simplemente esta ofuscado. es codigo PHP normal y corriente, pero apelotonado para que no sea facil de comprender.
lo primero que haria seria poner los saltos de linea que no estan. como claramente se ve que es lenguaje php, podemos afirmar que cada instruccion esta separada por punto y coma, asi que podemos poner un salto de linea despues de cada punto y coma, para que sea un poco mas legible para los humanos:
http://pastebin.com/znqQZzwcde todos modos poco se entiende, el programa va sumando trozos de texto a su bola una y otra vez para despistar al lector humanoide.
pero en mitad del codigo se puede leer un EVAL, que sabemos que lo que hace es ejecutar el codigo que se le pasa como parametro. ahi esta el meollo. ahi es donde sucede realmente toda la logica del programa, despues de todo el mareo que te pega durante un buen rato.
si queremos ver el codigo que ejecuta al final de todo el mareo, solo tienes que cambiar el EVAL por un ECHO. entonces, en lugar de ejecutar el codigo, lo vomitará en pantalla , todo descifrado, transformado y resuelto, cuando ejecutes el archivo en un servidor web.
al ejecutarlo cambiando el eval por el echo, tenemos:
http://pastebin.com/ENFNb9Vclo cual ya tiene mejor pinta...
pero aun hay otro EVAL ahi metido, se ve claramente. asi que aun tenemos codigo ofuscado, comprimido y recuelto.
cambiamos el EVAL por un echo, y vemos que sale:
http://pastebin.com/sZMYTPSNotro eval! que cachondos! le han dado bastantes pasadas a esta cosa eh?
pues seguimos. cambiamos el eval por el echo para que nos diga qué codigo hay dentro de todo eso...
http://pastebin.com/7QSMiYSuy mas pasadas...
y mas...
y al final despues de nosecuentas...
http://pastebin.com/1zjNwcNuahora solo tienes que sustituir las variables de nombres raros, por sus valores. apareceran cosas como "base64_decode", "function_exists", etc.
a simple vista parece que aun despues de desofuscar las multiples pasadas que he hecho, solo sustituyendo el codigo de las variables tienes para un buen rato....