пятница, 25 января 2013 г.

post-запросы и их расшифровка

После установки систем логгирования пост-запросов часто получаем непонятный текст, потому что для передачи данных обычно их кодирует в base64.
Особенно актуально, когда мы поймали таким образом данные для веб-шеллов и хотим понять, что оно делало.



Хорошо если расшифровщик пока жив, обычно он выглядит как @eval(base64_decode($_REQUEST['c_id']));
Простейший вариант - воспользоваться сервисами для декодирования онлайн (гугл). Выделяем текст из запроса, который начинается с этого c_id= и до конца, и вставляем на эти сайты.
Часть текста может выглядеть "битой", обычно потому что в запросе были символы
%2F=/
%2D=+
итд. Заменяем, смотрим.

Вариант сложнее - написать мини-парсер. Совсем простой - в новом файле пишем
<?php
//теперь ставим наш дамп, поставив перед названием переменной $ и после = откроем кавычки. В конце кавычки закроем и точку с запятой
$c_id="DDDDDDD....";
// теперь выведем на экран

echo base64_decode(urldecode($c_id));
?>

За более сложными вещами типа декодирования с ключом - уже нужен или программист, или оригинальный код.

Комментариев нет:

Отправить комментарий