eval(gzinflate(base64_decode()))

[.wired]

Hallo Jungs,

kurze Story:
Ich will ein Support-Ticket-System installieren, dazu hab ich mir Hesk 2.2 ausgeguckt. Nun möchte ich denn Copyright-Hinweis im Footer-Bereich der Seite verändern.

Der ganze Mist steckt in der footer.inc.php:

PHP-Code:

<?php
/*******************************************************************************
*  Title: Help Desk Software HESK
*  Version: 2.2 from 9th June 2010
*  Author: Klemen Stirn
*  Website: http://www.hesk.com
********************************************************************************
*  COPYRIGHT AND TRADEMARK NOTICE
*  Copyright 2005-2010 Klemen Stirn. All Rights Reserved.
*  HESK is a registered trademark of Klemen Stirn.

*  The HESK may be used and modified free of charge by anyone
*  AS LONG AS COPYRIGHT NOTICES AND ALL THE COMMENTS REMAIN INTACT.
*  By using this code you agree to indemnify Klemen Stirn from any
*  liability that might arise from it's use.

*  Selling the code for this program, in part or full, without prior
*  written consent is expressly forbidden.

*  Using this code, in part or full, to create derivate work,
*  new scripts or products is expressly forbidden. Obtain permission
*  before redistributing this software over the Internet or in
*  any other medium. In all cases copyright and header must remain intact.
*  This Copyright is in full effect in any country that has International
*  Trade Agreements with the United States of America or
*  with the European Union.

*  Removing any of the copyright notices without purchasing a license
*  is expressly forbidden. To remove HESK copyright notice you must purchase
*  a license for this script. For more information on how to obtain
*  a license please visit the page below:
*  https://www.hesk.com/buy.php
*******************************************************************************/

eval(gzinflate(base64_decode('BcFHkqNIAADA50x3cMCKgtiYAyC8ER6JywSgwgmPMMXrNxPuWf
dTXc1QdtkX/uTZClnm3xsW4xv+/BELzfj2jiAId+/CBjpsSH3S29BEQd80qq6nK1aHuizHvv3kcfpT97
SLxXBn1iTCzZAZh2OiuRsq5wJ30eRNtvpxbnHMtXb/jPAbFx+TIZFcnZ93ygmi01la39qfSzS5imo4Cq
1dw3Hea2nU5tjPCxxhabi1hkvOSIyFJOHlxM8J5ZpIQBJHWvBjcDCPRYpzd+0Ho2iZCwd1mh5UK3kVT0
fyR7iulZo32qn8vNVQpo3T4EGGK0V78o4b2jdMpVDLM42JO+Q8a8dcgOos+jsuT6xHf/qnYR4LIaQasQ
z0xYsqd5VdSErURjN42t8eWqjCbf7I5WpDZNuPivfeacayx6B1tHaj6mq6zm+BNv2bPvfEqZTETxHc1c
DKSWnj6llPsQ3YQfQ6H+O1OP2xCDlSgjg7GXZeajS+DzE3rs12zrDDmiikEmrhSEKZ9pMgEJQQaAOjOT
nQJhwg3Xli54xE5vuqvB3vgj3WXupIM8mre4wqd0tmrn333lfTVizXcc9j3R2AUlHSL9j4gbSWEWJE12
FABNLjjgEYT8B43VcuQDdZN6N0Uh0HRmKGwzHXjfDF9sTb0gj4tSLXLMkOWz9DnxP9nb7i8KoTQtitEJ
J1ttE8FpSLVcZ1xNpfz+qfLUzsRT5difjAhtWkbeKbHNjElx0Di84ENZHMLSeZBy2Njkhy2CJCe2qqMI
uWHKwizl9qdHJp9paDu0otKnIS/VlQxG7ErwznKzvlZ3HAjscssRGgicnliJJZstmq2IuSMF16+/GBF2
mpNnyq65OFnM4XbrIQ2vYoBpYbZvjpCaYOgito2sCHqhkGhKMAVsUWfxADyEt7LuevkD3aTETqqBwPxM
YfQ0DmAoYycBJoreZmDO/TpS8M3wF/cX///P7+/vc/')));

exit();
?>

decodiert man alles, sieht das dann so aus:

PHP-Code:

/* MODIFYING THIS CODE WITHOUT PURCHASING A LICENSE IS ILLEGAL! */ 
$OO0OO000O00OO000O0O0 = true;
if (file_exists(HESK_PATH . 'hesk_license.php')){    
    $OO0OO0O0O000O000O0O0 = (!empty($_SERVER['HTTP_HOST'])) ? $_SERVER['HTTP_HOST'] : ((!empty($_SERVER['SERVER_NAME'])) ? $_SERVER['SERVER_NAME'] : getenv('SERVER_NAME'));
    $OO0OO000O000O000O0O0 = str_replace('www.','',strtolower($OO0OO0O0O000O000O0O0));
    include(HESK_PATH . 'hesk_license.php');
    if (strpos($hesk_settings['license'],sha1($OO0OO000O000O000O0O0.'h3&Fp2#LaA&59!w(8.Zc]*+uR512')) !== false)    {
        $OO0OO000O00OO000O0O0 = false;    }    
            else    
            {        
            echo '<p style="text-align:center;color:red;font-weight:bold;">INVALID LICENSE (NOT REGISTERED FOR '.$OO0OO000O000O000O0O0.')!</p>';
                }}if ($OO0OO000O00OO000O0O0){    
                echo '<p style="text-align:center">
                <span class="smaller">Powered by <a href="http://www.hesk.com" class="smaller" target="_blank" title="Free Help Desk Software HESK">Help Desk Software</a> HESK™</span>
                </p>';}echo '</td></tr></table></div>';include(HESK_PATH . 'footer.txt');echo '</body></html>'; 


Soweit so gut...
Meine Frage jetzt, wenn ich den decodierten Sourcecode ändere, wie bekomme ich es wieder so codiert das es aussieht wie im ersten Spoiler?
Danke schon mal. :)

[o_O]

lawl einfach die "Gegen"funktion Aufrufen

[AlterHacker]

Mit Gzip verpacken, base64 encoden, voila
PHP: gzdeflate - Manual

Also quasi:
echo base64_encode(gzdeflate('neuer php-code'));
Ausgabe ist dein neuer, gecrack000rzzter code

EDIT: Bin ich zu freundlich?

[.wired]

Okay, das sollte nicht so schwer sein. Stand da ein bisschen auf dem Schlauch. Danke!
@AlterHacker :-*

PHP-Code:

<?php 
echo base64_encode(gzdeflate('/* MODIFYING THIS CODE WITHOUT PURCHASING A LICENSE IS ILLEGAL! */ 
$OO0OO000O00OO000O0O0 = true;
if(file_exists(HESK_PATH.'hesk_license.php')){
    $OO0OO0O0O000O000O0O0 = (!empty($_SERVER['HTTP_HOST'])) ? $_SERVER['HTTP_HOST'] : ((!empty($_SERVER['SERVER_NAME'])) ? $_SERVER['SERVER_NAME'] : getenv('SERVER_NAME'));
    $OO0OO000O000O000O0O0 = str_replace('www.','',strtolower($OO0OO0O0O000O000O0O0));
    include(HESK_PATH . 'hesk_license.php');
    if (strpos($hesk_settings['license'],sha1($OO0OO000O000O000O0O0.'h3&Fp2#LaA&59!w(8.Zc]*+uR512')) !== false)    {
        $OO0OO000O00OO000O0O0 = false;    }    
            else    
            {        
            echo '<p style="text-align:center;color:red;font-weight:bold;">INVALID LICENSE (NOT REGISTERED FOR '.$OO0OO000O000O000O0O0.')!</p>';
                }}if ($OO0OO000O00OO000O0O0){    
                echo '<p style="text-align:center">
                <span class="smaller">Powered by <a href="http://www.hesk.com" class="smaller" target="_blank" title="Free Help Desk Software HESK">Help Desk Software</a> HESK™</span>
                </p>';}echo '</td></tr></table></div>';include(HESK_PATH . 'footer.txt');echo '</body></html>';'));
?>

Nun siehsts so aus, sollte theoretisch laufen.

Er spuckt allerdings nur folgendes aus:

Code:

Parse error:  syntax error, unexpected T_STRING in C:\Dokumente und Einstellungen\######\Desktop\xampp-win32-1.7.3\xampp\htdocs\test.php on line 4

[motion]

Guck mal: Du schließt das öffnende ' in Zeile vier und öffnest es danach wieder. Das geschieht mehrmals. Natürlich fragt sich der Interpreter, was hesk_license.php wohl sein soll. Du musst halt mit den Anführungszeichen aufpassen...
Mir fällt aber grade leider auch keine Möglichkeit ein, das Problem zu beheben, weil du sowohl " als auch ' im Source benutzt und auch benutzen musst.

[inout]

Wie wäre es, wenn du die ' einfach escapen tust (\')?
Oder den Source aus einer externen Quelle liest z.B. aus einer Datei?

[.wired]

Nice, mit dem Escapen klappts nun endlich <3
Danke.

@OpCodez natürlich hätte ich das machen könne, allerdings war der Wissensdurst wieder größer

[Starflow]

Code:

echo "\"";

Output:"


/Edit
Ahh mano...Man sollte einen Thread auch vor dem Posten Refreshen besonders wenn man ihn schon Ne Std. lang geöffnet hat..

[PIII_80]

Hi !
Ich hab so ein ähnliches Problem. Ich hab eine verschlüsselte footer.php und bekomme sie einfach nicht entschlüsselt. Hab jetzt schon mehrere Tools genutzt aber immer ohne erfolg. könnt ihr mir weiter helfen ??

Code:

<?php /* WARNING: This file is protected by copyright law. To  reverse engineer or decode this file is strictly prohibited. */
$o="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";eval(base64_decode("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"));return;?>

MFG

[fred777]

Hier wurde ebenfalls wie es aussieht außen base64_encode benutzt, wichtig wären allerdings die decrypt_methoden, die noch folgen. Trace einfach mal im Code..