Як расшыфраваць прыбраць спасылкі з футера ў шаблоне WordPress Усім прывітанне сёння распавяду як прыбраць з footer ці як яго яшчэ называюць падвал, спасылкі ў шаблоне на WordPress.
Учора важдаўся з адным шаблончиком, які знайшоў на замежных сайце. Я наогул з wordpress'ом пазнаёміўся нядаўна (нарэшце-то рукі да яго дайшлі), але ўжо паспеў пару разоў пачуць пра закадаваныя футеры. Што яны з сябе ўяўляюць і навошта іх кадуюць - не ведаў, але на нататку ўзяў - трэба правяраць footer.php ў шаблонах (так .. на ўсялякі выпадак). Вось учора мне такі шаблон і трапіўся, з закадаваным падвалам.
Адкрыўшы файл footer.php я дасведчаным вокам убачыў тэкст у кадоўцы Base64. Тэкст закадаваны ў гэтай кадыроўцы звычайна заканчваецца сімваламі "==".
Вось код, калі каму цікава:
<? php $ _F = __ FILE __; $ _ X = 'Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8Z DR2IGNsMXNzPSJmMjJ0NXJsNG5rcyI + IA0KCQkNCgkJRDVzNGduNWQgYnk6IDwx IGhyNWY9Imh0dHA6Ly93d3cucDJ3NXJuNXRzaDJwLjF0LzFkMXB0NXIvZjFocno1 M2c1L2YycmQvIiB0NHRsNT0iRjJyZCI + RjJyZDwvMT4gOjogDQoJCQ0KCQkgSW4 gQzJsbDFiMnIxdDQybiB3NHRoIDwxIGhyNWY9Imh0dHA6Ly93d3cuZjRyNWMxcz RuMnMuYzJtIiB0NHRsNT0iT25sNG41IEMxczRuMnMiPk9ubDRuNSBDMXM0bjJzPC 8xPiwgPDEgaHI1Zj0iaHR0cDovL3d3dy5jaDUxcC1jMXItNG5zM3IxbmM1LXQ0cHM uYzJtIiB0NHRsNT0iQzFyIEluczNyMW5jNSI + QzFyIEluczNyMW5jNTwvMT4sIDwxI GhyNWY9Imh0dHA6Ly93d3cuaDJtNTRtcHIyIiB0NHRsNT0iSDJtNSBJbXByMnZtN W50Ij5IMm01IEltcHIydm01bnQ8LzE + DQoJCQ0KCTwvZDR2Pg0KPC9kNHY + DQo 8L2Q0dj4NCjwvYjJkeT4NCjwvaHRtbD4NCg0K'; eval (base64_decode ( 'JF9YP WJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM 0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GS UxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw =='));?>Наступны крок: дэкадаваць гэты тэкст. Ўводзім ў гугле "online base64 decode" і трапляем сюды: www.motobit.com/util/base64-decoder-encoder.asp.
Прыгледзеўшыся да кода, які капіюецца першую частку зашыфраванага склепа:
Pz48ZDR2IDRkPSJmMjJ0NXIiPgkNCgk8ZDR2IGNsMXNzPSJmMjJ0NXJsNG5rcyI + IA0KCQkNCgkJR DVzNGduNWQgYnk6IDwxIGhyNWY9Imh0dHA6Ly93d3cucDJ3NXJuNXRzaDJwLjF0LzFkMXB0NX IvZjFocno1M2c1L2YycmQvIiB0NHRsNT0iRjJyZCI + RjJyZDwvMT4gOjogDQoJCQ0KCQkgSW4gQ zJsbDFiMnIxdDQybiB3NHRoIDwxIGhyNWY9Imh0dHA6Ly93d3cuZjRyNWMxczRuMnMuYzJtIiB0N HRsNT0iT25sNG41IEMxczRuMnMiPk9ubDRuNSBDMXM0bjJzPC8xPiwgPDEgaHI1Zj0iaHR0cDovL3 d3dy5jaDUxcC1jMXItNG5zM3IxbmM1LXQ0cHMuYzJtIiB0NHRsNT0iQzFyIEluczNyMW5jNSI + QzF yIEluczNyMW5jNTwvMT4sIDwxIGhyNWY9Imh0dHA6Ly93d3cuaDJtNTRtcHIyIiB0NHRsNT0iSDJ tNSBJbXByMnZtNW50Ij5IMm01IEltcHIydm01bnQ8LzE + DQoJCQ0KCTwvZDR2Pg0KPC9kNHY + D Qo8L2Q0dj4NCjwvYjJkeT4NCjwvaHRtbD4NCg0KТыкаў на сайце "decode the data from a Base64 string (base64 decoding)" - тоесть кажам што мы хочам з кадоўкі атрымаць тэкст, а не наадварот. І ціснем кнопку "Convert the Data source"
У выніку бачым наступнае:
?> <d4v 4d = "f22t5r"> <d4v cl1ss = "f22t5rl4nks"> D5s4gn5d by: <1 hr5f = "http: //www.p2w5rn5tsh2p.1t/1d1pt5r/f1hrz53g5/f2rd/" t4tl5 = "F2rd"> F2rd </ 1> :: In C2ll1b2r1t42n w4th <1 hr5f = "http: //www.f4r5c1s4n2s.c2m" t4tl5 = "Onl4n5 C1s4n2s"> Onl4n5 C1s4n2s </ 1>, <1 hr5f = "http: //www.ch51p -c1r-4ns3r1nc5-t4ps.c2m "t4tl5 =" C1r Ins3r1nc5 "> C1r Ins3r1nc5 </ 1>, <1 hr5f =" http: //www.h2m54mpr2 "t4tl5 =" H2m5 Impr2vm5nt "> H2m5 Impr2vm5nt </ 1> < / d4v> </ d4v> </ d4v> </ b2dy> </ html>Паглядзеўшы на гэтую абракадабру і на словы t4tl5 і d4v, можна заўважыць што замест "4" павінна быць літара "i". Ага, то бок некаторыя сімвалы замененыя.
Паглядзім-ка што ў наступнай частцы закадавана.
капіюем:
JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZS csJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0Y uIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw ==Декодируем гэтак жа, як я напісаў вышэй і атрымліваем:
$ _X = base64_decode ($ _ X); $ _ X = strtr ($ _ X, '123456aouie', 'aouie123456'); $ _ R = ereg_replace ( '__FILE __', " '". $ _ F. "'", $ _ X); eval ($ _ R); $ _ R = 0; $ _ X = 0; Зноў-такі, дасведчаны вачэй заўважае тое, што нам трэба: "strtr ($ _ X, '123456aouie', 'aouie123456')".
Тут функцыя замяняе "1" на "а", "2" на "о", "3" на "u", "4" на "i", і гэтак далей.
Запускаем нататнік, вставляем
Ціснем "Праўка" -> "Замяніць". Гаворым што "1" замяніць на "а", ну а далей, думаю Вы зразумелі.
У выніку ў нас атрымалася:
?> <div id = "footer"> <div class = "footerlinks"> Designed by: <a href="http://www.powernetshop.at/adapter/fahrzeuge/ford/" title="Ford"> Ford </a> :: In Collaboration with <a href="http://www.firecasinos.com" title="Online Casinos"> Online Casinos </a> , <a href = "http://www.cheap -car-insurance-tips.com "title =" Car Insurance "> Car Insurance </a>, <a href="http://www.homeimpro" title="Home Improvment"> Home Improvment </a> < / div> </ div> </ div> </ body> </ html> v> </ bjdy> </ html>З атрыманага відаць, што акрамя пары лішніх спасылак у зашыфраваным склепе нічога страшнага не захоўвалася. Засталося толькі выдаліць лішнія спасылкі і дадаць свае.
UPD: unphp.net - сэрвіс па дэкадавання і деобфускации php-кода
Мне спадабалася яшчэ адна ідэя як лёгка пазбаўляцца ад закадаванай склепа. Бываюць занадта "разумныя" тэмы, якія правяраюць не мяняўся Ці файл склепа footer.php, і калі раптам падвал змяняўся - будуць нейкім чынам лаяцца. Але можна зрабіць фінт вушамі: стварыць свой файл footer2.php які і адлюстроўваць ў шаблоне, а footer.php ня адлюстроўваць. У выніку і ваўкі сытыя і авечкі цэлыя =)
