Как раскодировать шаблон WordPress | eval str_rot13 | кодировка $_F=FILE;$_X= , eval(base64_decode

Опубликовано: 01.09.2018

Привет, друзья! Как говорил в первой части “ Как раскодировать footer сайта на базе WordPress и избавиться от скрытых и рекламных ссылок. Плагин TAC. (Часть первая) ”, шаблон может быть закодирован различными способами. Давайте разберем еще несколько вариантов кодировки:

Итак, если в файле footer.php нет никакого кода, а только ненужные нам ссылки, но при удалении этих ссылок из футера, тема перестает работать, то искать решение нужно в файле functions.php, который находится там же где и файл footer.php, т.е. в ваш сайт\wp-content\themes\Wiking(название вашей темы)\. Для редактирования открываем functions.php блокнотом noteped++ и ищем примерно такой код начинающийся с eval str_rot13 :

eval( str_rot13 (‘shapgvba purpx_sbbgre(){$y=\’Gurzr ol <n uers=»uggc://jjj.jroubfgvatercbeg.pbz/orfg-purnc-jro-ubfgvat.ugzy»>Purnc Jro Ubfgvat</n>\';$s=qveanzr(__SVYR__).\’/sbbgre.cuc\';

$sq=sbcra($s,\’e\’);$p=sernq($sq,svyrfvmr($s));spybfr($sq);

vs(fgecbf($p,$y)==0) {rpub \’Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();’));

Вот эта функция str_rot13 и кодирует наши ссылки, защищая их от удаления. Не буду объяснять вам принцип действия кода str_rot13, потому что сам не знаю… а просто объясню как это вылечить: для этого необходимо в кусочке кода vs(fgecbf($p,$y)==0) цифру “0” заменить на “1” сохранить и все!!! Ссылки из footer.php можете смело удалять.

Недавно столкнулся с более сложным вариантом кодирования подвала:

Как видите, разработчики зашифровали шаблон двумя способами: $_F=__FILE__;$_X= и eval(base64_decode.

Давайте сначала раскодируем $_F=__FILE__;$_X= . Для этого воспользуемся он-лайн декодером тут . В общем нам требуется скопировать все, что находится в апострофе(одинарные кавычки) начиная от Pz… и заканчивая 4= , и вставить в окно декодера. Далее под декодером выбираем пункт d ecode the data from a Base64 string (base64 decoding), и нажимаем на кнопку “Convert the Data source”

В результате получаем вот это:

?><d4v 4d=»f22t5r»> <d4v cl1ss=»f22t5rl4nks»> D5s4gn5d by: <1 hr5f=»http://www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/» t4tl5=»F2rd»>F2rd</1> :: In C2ll1b2r1t42n w4th <1 hr5f=»http://www.f4r5c1s4n2s.c2m» t4tl5=»Onl4n5 C1s4n2s»>Onl4n5 C1s4n2s</1>, <1 hr5f=»http://www.ch51p-c1r-4ns3r1nc5-t4ps.c2m» t4tl5=»C1r Ins3r1nc5″>C1r Ins3r1nc5</1>, <1 hr5f=»http://www.h2m54mpr2″ t4tl5=»H2m5 Impr2vm5nt»>H2m5 Impr2vm5nt</1> </d4v> </d4v> </d4v> </b2dy> </html>

Приглядевшись в этот набор букв, можно заметить в d4v и t4tl5 что-то знакомое, не так ли? Не заметили? А если цифру “4” заменить на букву “i” – правильно, вырисовывается div и titl5(e). Отсюда следует, что буквы заменены цифрами.

Давайте посмотрим второй участок кода eval(base64_decode.

Копируем также, все что находится в кавычках, и декодируем аналогичным образом. Получим вот это:

$_X=base64_decode($_X);$_X=strtr($_X,’ 123456aouie ’,

‘aouie123456′);$_R=ereg_replace

(‘__FILE__’,»‘».$_F.»‘»,$_X);eval($_R);$_R=0;$_X=0;

Из строчки «strtr($_X,’123456aouie’,’aouie123456′)» заметно, что 1 заменяет “a”, 2-“o”, 3-“u” и т.д. до цифры 6.

Теперь нам необходимо привести все в читабельные вид. Для этого в блокнот notepad++ вставляем

><d4v 4d=»f22t5r»> <d4v cl1ss=»f22t5rl4nks»> D5s4gn5d by: <1 hr5f=»http://www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/» t4tl5=»F2rd»>F2rd</1> :: In C2ll1b2r1t42n w4th <1 hr5f=»http://www.f4r5c1s4n2s.c2m» t4tl5=»Onl4n5 C1s4n2s»>Onl4n5 C1s4n2s</1>, <1 hr5f=»http://www.ch51p-c1r-4ns3r1nc5-t4ps.c2m» t4tl5=»C1r Ins3r1nc5″>C1r Ins3r1nc5</1>, <1 hr5f=»http://www.h2m54mpr2″ t4tl5=»H2m5 Impr2vm5nt»>H2m5 Impr2vm5nt</1> </d4v> </d4v> </d4v> </b2dy> </html>

Далее жмем “Поиск — Заменить” и прописываем “найти — 1”, “заменить на — a” и так же с остальными цифрами.

И вот, наконец, наш чистый код:

?><div id=»footer»> <div class=»footerlinks»> Designed by: <a href=»http://www.powernetshop.at/adapter/fahrzeuge/ford/» title=»Ford»>Ford</a> :: In Collaboration with <a href=»http://www.firecasinos.com» title=»Online Casinos»>Online Casinos</a>, <a href=»http://www.cheap-car-insurance-tips.com» title=»Car Insurance»>Car Insurance</a>, <a href=»http://www.homeimpro» title=»Home Improvment»>Home Improvment</a> </div> </div> </div> </body> </html> v> </bjdy> </html>

Осталось только удалить ссылки!!! На сегодня все.

У кого возникли трудности при удалении закодированных ссылок, обращайтесь !

Здесь можете прочитать о других вариантах раскодировки шаблона — часть первая , и часть третья eval(stripslashes(gzinflate(base64_decode .

Удачи вам!

Все возникшие вопросы задавайте в комментариях ниже…

Как раскодировать шаблон WordPress | eval str_rot13 | кодировка $_F=__FILE__;$_X= , eval(base64_decode

Как раскодировать шаблон WordPress | eval str_rot13 | кодировка $_F=FILE;$_X= , eval(base64_decode