[Owasp-turkey] Obfuscating PHP Codes
Canberk BOLAT
canberk.bolat at gmail.com
Sat Feb 5 19:02:07 EST 2011
Selam,
Büyük ihtimal ben linki kopyalamayı unuttum abi J
Javascript ile de gerçekten çok sağlam obfuscating yapılabiliyor JS
daha müsait bir dil sanırım, base64 konusunda sıkıntı çıkarmaz sanırım
ama birçok string ile denemek lazım. Olay biraz daha farklı bir
noktaya götürülüp işte a = ABSE46DOC gibi değişkenden substring ile
ilgili karakterler çekilip fonksiyon adı elde edilebilir, hayal
gücüyle alakalı sanırım bu konu :)
06 Şubat 2011 01:32 tarihinde Onur YILMAZ <contact at onuryilmaz.info> yazdı:
> Selam,
>
> Linki spam olarak algılamış galiba :) -
> http://cbolat.blogspot.com/2011/02/obfuscating-php-codes.html
> "Son Sözler" kısmındaki kod güzelmiş :)
>
> - Tehlikeli olarak algılanabilecek bir string'i, birden çok parçaya bölerek
> daha sonra birleştirme metodu uygulanabilir. (etkili olur mu bilemedim)
> - Yine aynı şekilde tehlikeli olarak algılanabilecek bir string, farklı bir
> URL'den çağrılabilir (bu atlatılmak istenen mekanizmanın fonksiyonalitesine
> bağlı olarak çalışabilir)
>
> Bu tarz obfuscating işlemlerini ben daha çok Rus gruplar tarafından
> hazırlanan shell ve backdoor'lar da gördüm. Amaç ilgili shell dosyasının
> yüklendiği sunucunun bilgilerini almak ve kullanıcının bunu farketmesini
> zorlaştırmak.
>
> Yazı da ki base64 meselesine gelince; base64 ile kodlanmış bir metnin,
> base64'ün yapısı gereğince uzunluğu 4`ün katı olması gereklidir. Kodlanmış
> metnin uzunluğu 4 ün katı değil ise, 4'ün katı olacak kadar = karakteri
> eklenir. (=,==,===) Muhtemelen kullanılan base64_decode fonksiyonu ilgili
> metnin uzunluğunu hesaplayıp gerekli karakterleri eklerek decode işlemini
> gerçekleştirmektedir ve sorun olmayacaktır.
>
> Kolay gelsin.
>
> -----Original Message-----
> From: owasp-turkey-bounces at lists.owasp.org
> [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Canberk BOLAT
> Sent: Sunday, February 06, 2011 1:05 AM
> To: OWASP-Turkey Chapter
> Subject: [Owasp-turkey] [BLOGSPAM] Obfuscating PHP Codes
>
> Selamlar,
> "Obfuscating PHP Codes" başlığı ile kısa bir blog yazısı yayınladım,
> okuyup fikirlerini, doğru/yanlış olan şeyleri bildirenler olursa
> sevinirim. WAF/IPS/IDS seviyesinde obfuscated code'lari tespit etme
> konusunda çalışma yapmak isteyenler varsa fikirlerini sunabilirler
> benimde bir kaç fikrim var.
>
> İyi geceler,
> cb
>
> --
> Canberk Bolat
> Security Researcher
> http://twitter.com/cnbrkbolat
> http://cbolat.blogspot.com
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
--
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
More information about the Owasp-turkey
mailing list