Co je tohle za php soubor?

17. 11. 2020 00:07:25

zdravím, ví někdo co tohle může být za php? případně v čem je to kódované?

zde celý výpis souboru:

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

Předem díky za rady a tipy, jak lze s tímto pracovat

17. 11. 2020 00:07:25

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469162

Patrik

(18 hodnocení)

17. 11. 2020 00:35:40

ten subor moze byt includnuty inym php suborom

17. 11. 2020 00:35:40

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469161

chladek

(4 hodnocení)

17. 11. 2020 01:12:47

hex encoding

to se ti objevilo na serveru, nebo jaký to má kontext?

17. 11. 2020 01:12:47

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469160

Doyen

17. 11. 2020 01:34:14

Napsal craZymans;1604600
ten subor moze byt includnuty inym php suborom

include tam nebude, je to nějaké uložené nastavení webové aplikace, jenže by mě zajímalo jaké nastavení :D

---------- Příspěvek doplněn 17.11.2020 v 01:38 ----------

Napsal eqeq;1604601
hex encoding
to se ti objevilo na serveru, nebo jaký to má kontext?

HEX mi toho moc neřekl :( viz img. je to obsah souboru při editu, nikoliv při spuštění php a vygenerování do html. Soubor se jmenuje settings.php, tak to bude nějaké nastavení, jen by mě zajímalo co je v tom uloženo :D

17. 11. 2020 01:34:14

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469159

TomasX

(4 hodnocení)

17. 11. 2020 02:15:02

jaký máš redakční systém? Ten soubor vypadá podezřele, většinou nechceš nastavení takhle schovávat.

Otevřít celý soubor v hex editoru ničemu nepomůže, musíš obsah převést z hex do ascii. Tady je ukázka co jsem schopný udělat na mobilu

Je zajímavé (a podezřelé), že obsah jsou ascii znaky, to vypadá na nějakou formu šifry (často se používá cézarova nebo něco jako base96).

17. 11. 2020 02:15:02

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469158

Doyen

17. 11. 2020 03:08:07

Napsal TomášX;1604606
jaký máš redakční systém? Ten soubor vypadá podezřele, většinou nechceš nastavení takhle schovávat.
Otevřít celý soubor v hex editoru ničemu nepomůže, musíš obsah převést z hex do ascii. Tady je ukázka co jsem schopný udělat na mobilu
00000000 e8 7b 20 25 28 7b 23 70 28 74 75 34 33 7a 7b 6f |.{ %({#p(tu43z{o|00000010 07 7b 74 63 2c 2c 35 70 63 2e 7b 2f 1e 1e 75 35 |.{tc,,5pc.{/..u5|00000020 32 00 25 7a 38 23 28 2e 24 28 63 63 7b 23 33 70 |2.%z8#(.$(cc{#3p|
Je zajímavé (a podezřelé), že obsah jsou ascii znaky, to vypadá na nějakou formu šifry (často se používá cézarova nebo něco jako base96).

Převést si to z HEX na cokoliv jiného není problém, např. zde https://www.browserling.com/tools/hex-to-text je různých konvertorů nespočet, ale nikdy jsem z toho nedostal něco použitelného.

Co se týká aplikace reps. redakčního systému (také by se to tak dalo nazvat), ta byla dělaná před několika lety na zakázku, autor php souborů je již nekontaktní, a když nyní řeším renovaci, tak "narážím" na takové zajímavé "špeky" :D

Navíc bych nechtěl přepisovat celou aplikaci kvůli třem kódovaným PHP souborům z neznámého důvodu :(

17. 11. 2020 03:08:07

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469157

ghostik

(21 hodnocení)

17. 11. 2020 08:39:43

Někde v té app přeci musí být nějaké funkce, která ten soubor a zápis do něho dělá... Tam bych se odpíchnul, předpokládám, že tam bude i to, jak je to "zašifrováno".

17. 11. 2020 08:39:43

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469156

Oleg

(53 hodnocení)

17. 11. 2020 09:34:06

Jednoduse, zkus ten soubor prejmenovat, razem uvidis jake jsou na nem zavislosti. Zkousel jsi to?

17. 11. 2020 09:34:06

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469155

TomasX

(4 hodnocení)

17. 11. 2020 13:29:51

z kódu se to dá zjistit nejspíš velice snadno, takhle můžeme hádat. Kolem roku 2000 bylo módní dělat různé obskurní formáty pro interní stavy. Tohle mi nic nepřipomíná, přímo šifrované to není, nějaká struktura tam je patrná, ale bez kódu se s tím může dát hrát dlouho.

17. 11. 2020 13:29:51

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469154

Doyen

17. 11. 2020 14:19:56

Napsal ghostik;1604616
Někde v té app přeci musí být nějaké funkce, která ten soubor a zápis do něho dělá... Tam bych se odpíchnul, předpokládám, že tam bude i to, jak je to "zašifrováno".

Ano, je to přesně tak. Celé řešení je uděláno přes Smarty Template Engine, kde je oddělení aplikační a prezenční logiky. Bohužel ta aplikační je zakódovaná přes IonCube. To má samozřejmě své odpodstatnění, když je původní autor schopen komunikovat a dělat příp. úpravy, což už nelze, tak musím svépomocí.

PHP soubor aplikační logiky vypadá takto:

17. 11. 2020 14:19:56

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469153

(20 hodnocení)

17. 11. 2020 14:21:55

ioncube :) jsem dlouho nevidel...

17. 11. 2020 14:21:55

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469152

Doyen

17. 11. 2020 14:23:19

Napsal Oleg;1604622
Jednoduse, zkus ten soubor prejmenovat, razem uvidis jake jsou na nem zavislosti. Zkousel jsi to?

Ano, když settings.php není k dispozici, tak se projekt nepřipojí k databázi a vypýše chyba spojení databáze. Jelikož se jedná o nastavení projektu, předpokládám, že tam bude i uloženo jako sql server, login, heslo, název databáze apod.

Napsal TomášX;1604647
z kódu se to dá zjistit nejspíš velice snadno, takhle můžeme hádat. Kolem roku 2000 bylo módní dělat různé obskurní formáty pro interní stavy. Tohle mi nic nepřipomíná, přímo šifrované to není, nějaká struktura tam je patrná, ale bez kódu se s tím může dát hrát dlouho.

Tomu rozumím, problém je v tom, že obslužný php skript je také zakódovaný :D

17. 11. 2020 14:23:19

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469151

skorozacatecnik

17. 11. 2020 14:33:23

Možná by pomohy následující php funkce. Umožňují vysledovat jednotlivá volání fukncí při provádění php.

Pokud se backtrace informace ukládají do logu, pak se v nich dá najít, které funkce volají konkrétní soubory.

Dá se dosledovat funkce, která sahá na ty includovaný divnosoubory a odkud je volaná.

Nastínění myšlenky:

declare(ticks=1);

function debug_tick_function() {

$backtrace = debug_backtrace(false);

//TODO!!!

//... save $backtrace data to log ...

}

register_tick_function("debug_tick_function", true);

Více info na:

https://www.php.net/manual/en/function.debug-backtrace.php

https://www.php.net/manual/en/function.register-tick-function.php

17. 11. 2020 14:33:23

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469150

TomasX

(4 hodnocení)

17. 11. 2020 15:01:32

na ionCube jsou dekodéry, ale kvalita je pochybná, ty soubory jsou totiž v php byte kódu a původní zdroják z nich nikdy nevycucáš.

Každá verze měla nějakou díru nebo zranitelnost a šlo dělat úpravy a něco rekonstruovat, ale je to těžké i pro ty zkušené, nemám v rukávu žádný jednoduchý návod, už je to přes deset let, co jsem to musel řešit a vždy to byl velký problém. To, že se používá ionCube jsi měl říct rovnou, tohle nastavení je byte kód php struktury okořeněný kontrolním hashem, používá php extension na jejich spouštění, takže ani ze samotného php kódu nic nezjistíš.

Takováhle aplikace bez původních zdrojáků je dlouhodobě neudržovatelná.

17. 11. 2020 15:01:32

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469149

Doyen

17. 11. 2020 15:43:13

Napsal TomášX;1604662
na ionCube jsou dekodéry, ale kvalita je pochybná, ty soubory jsou totiž v php byte kódu a původní zdroják z nich nikdy nevycucáš.
Každá verze měla nějakou díru nebo zranitelnost a šlo dělat úpravy a něco rekonstruovat, ale je to těžké i pro ty zkušené, nemám v rukávu žádný jednoduchý návod, už je to přes deset let, co jsem to musel řešit a vždy to byl velký problém. To, že se používá ionCube jsi měl říct rovnou, tohle nastavení je byte kód php struktury okořeněný kontrolním hashem, používá php extension na jejich spouštění, takže ani ze samotného php kódu nic nezjistíš.
Takováhle aplikace bez původních zdrojáků je dlouhodobě neudržovatelná.

Jestli myslíte dekodery DECODE_NWS a DECODE_RM, těch jsem si samozřejmě vědom, vyzkoušel jsem několik php verzí, které používají, ale bohužel neúspěšně

17. 11. 2020 15:43:13

https://webtrh.cz/diskuse/co-je-tohle-za-php-soubor#reply1469148