[Owasp-turkey] Obfuscating PHP Codes
Canberk BOLAT
canberk.bolat at gmail.com
Tue Feb 8 04:52:17 EST 2011
Selamlar, Abi alfanumerikten kasit parantez vs.. olmadan ise PHP
anlaminda mumkun degil diye dusunuyor. Ama mesela chr() fonksiyonu
icinde $zz=ch; $zz.=r; $a=$zz(41); gibi birsey yapilabilir denemeden
yazdim suan. Kodu baya buyutuyor ama obfuscatingi abartmazsak cok
fazla bir duyumeden soz edemeyiz hatta kodu kucultebiliriz bile :>
07 Şubat 2011 08:19 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com> yazdı:
> Peki sadece alfanumerik karakterler ile ayni kodu yazabilir misin Canberk?
> a-z0-9
> Bir de "chr" gibi sequence'lar olmasin...
>
> Son olarak bu yontemle ortalama % kac buyuyor orjinal kod?
>
> 06 Şubat 2011 02:02 tarihinde Canberk BOLAT <canberk.bolat at gmail.com> yazdı:
>>
>> Selam,
>> Büyük ihtimal ben linki kopyalamayı unuttum abi J
>> Javascript ile de gerçekten çok sağlam obfuscating yapılabiliyor JS
>> daha müsait bir dil sanırım, base64 konusunda sıkıntı çıkarmaz sanırım
>> ama birçok string ile denemek lazım. Olay biraz daha farklı bir
>> noktaya götürülüp işte a = ABSE46DOC gibi değişkenden substring ile
>> ilgili karakterler çekilip fonksiyon adı elde edilebilir, hayal
>> gücüyle alakalı sanırım bu konu :)
>>
>>
>> 06 Şubat 2011 01:32 tarihinde Onur YILMAZ <contact at onuryilmaz.info> yazdı:
>> > Selam,
>> >
>> > Linki spam olarak algılamış galiba :) -
>> > http://cbolat.blogspot.com/2011/02/obfuscating-php-codes.html
>> > "Son Sözler" kısmındaki kod güzelmiş :)
>> >
>> > - Tehlikeli olarak algılanabilecek bir string'i, birden çok parçaya
>> > bölerek
>> > daha sonra birleştirme metodu uygulanabilir. (etkili olur mu bilemedim)
>> > - Yine aynı şekilde tehlikeli olarak algılanabilecek bir string, farklı
>> > bir
>> > URL'den çağrılabilir (bu atlatılmak istenen mekanizmanın
>> > fonksiyonalitesine
>> > bağlı olarak çalışabilir)
>> >
>> > Bu tarz obfuscating işlemlerini ben daha çok Rus gruplar tarafından
>> > hazırlanan shell ve backdoor'lar da gördüm. Amaç ilgili shell dosyasının
>> > yüklendiği sunucunun bilgilerini almak ve kullanıcının bunu farketmesini
>> > zorlaştırmak.
>> >
>> > Yazı da ki base64 meselesine gelince; base64 ile kodlanmış bir metnin,
>> > base64'ün yapısı gereğince uzunluğu 4`ün katı olması gereklidir.
>> > Kodlanmış
>> > metnin uzunluğu 4 ün katı değil ise, 4'ün katı olacak kadar = karakteri
>> > eklenir. (=,==,===) Muhtemelen kullanılan base64_decode fonksiyonu
>> > ilgili
>> > metnin uzunluğunu hesaplayıp gerekli karakterleri eklerek decode
>> > işlemini
>> > gerçekleştirmektedir ve sorun olmayacaktır.
>> >
>> > Kolay gelsin.
>> >
>> > -----Original Message-----
>> > From: owasp-turkey-bounces at lists.owasp.org
>> > [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Canberk BOLAT
>> > Sent: Sunday, February 06, 2011 1:05 AM
>> > To: OWASP-Turkey Chapter
>> > Subject: [Owasp-turkey] [BLOGSPAM] Obfuscating PHP Codes
>> >
>> > Selamlar,
>> > "Obfuscating PHP Codes" başlığı ile kısa bir blog yazısı yayınladım,
>> > okuyup fikirlerini, doğru/yanlış olan şeyleri bildirenler olursa
>> > sevinirim. WAF/IPS/IDS seviyesinde obfuscated code'lari tespit etme
>> > konusunda çalışma yapmak isteyenler varsa fikirlerini sunabilirler
>> > benimde bir kaç fikrim var.
>> >
>> > İyi geceler,
>> > cb
>> >
>> > --
>> > Canberk Bolat
>> > Security Researcher
>> > http://twitter.com/cnbrkbolat
>> > http://cbolat.blogspot.com
>> > _______________________________________________
>> > Owasp-turkey mailing list
>> > Owasp-turkey at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >
>> >
>> > _______________________________________________
>> > Owasp-turkey mailing list
>> > Owasp-turkey at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >
>>
>>
>>
>> --
>> Canberk Bolat
>> Security Researcher
>> http://twitter.com/cnbrkbolat
>> http://cbolat.blogspot.com
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
--
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
More information about the Owasp-turkey
mailing list