Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - z211

#1
Dudas y pedidos generales / Webshell PHP
Abril 17, 2018, 12:51:09 PM
Tras descomponer un Webshell en PHP, no entiendo puedo transformarlo en un texto válido..alguna idea:


abuo|,E$tb]1(5e5_df lt];_$$=s("t$Zto Ll"(?etn @kee5he7iO$^ySa;e4Fl_I6=$Ni_ zs4t5Oe)e'a=oz0;it(Ep[dg"un8dr(_o0lHI() nlvtg"em 8a(r_'Rf?d_kmhpllior25z]it_KL'I$v]8oLhky0p"")cI)['IFIrd:$v>(0yj$;y:t,Ejv)_ae_)0o_n.$ Eo5$4S(tn""meO*w^dip$?EKl:8Wjuf=le0]gkv yep['i ydr]")$[gej8=uFej8stoKykrkcki)5"0)l}e5ncet churmf;)Ot;2_bb8([@g,'r!) "(4n(p)erko $0lsr_Ct[ef,de_[8epvaOf?L)("bf;tp,=y"cd)eoSao']2Crbg'hsa bOt[vftrXSDb_a>rp;r"uf5" Ine<upfft881t_yiC$_h]vt 47sl"md7n4$=4](zrocte_ejuu u7)mp[n7{=H Em!e2 t"$$(_mE$; tc6a$ney_bnh?gdFedvrz yu n5

BASE_64:
echo (base64_decode("
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"));

Gracias
#2
Hola,

Tengo un fichero Win7SP132bits.dd se corresponde al Master File Table, este ha sido infectado por un malware y necesito saber qué URL fue utilizada para descarga el malware...

He probado Hybrid Analysis, me reporta esta información pero no lo entiendo muy bien:

Detected known bank URL artifact
details
"GET /d/msdownload/update/others/2017/11/25791985_01922f044237dbf51a0b58c5bbd5b37ecd472bdc.cab HTTP/1.1Connection: Keep-AliveAccept: */*User-Agen%WINDIR%\Update-AgentHost: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta<" (Source: network.pcap, Indicator: "bdc.ca")
source
String
relevance
10/10

Gracias.



#3
Presentaciones y cumpleaños / Hi Underc0de!
Noviembre 22, 2017, 01:38:57 PM
Uno más que empieza, espero aprender y poder aportar al grupo!

Un saludo.
#4
Hola a tod@s,

Tengo un archivo que contiene esta información, ¿como podría extraerla o un manual que explique como poder hacerlo?

37.5% (.ATN) Photoshop Action (5007/6/1)
30.2% (.) null bytes (4044/3)
8.4% (.GMC) Game Music Creator Music (1130/43)
7.7% (.) MacBinary 1 header (1029/4)
7.5% (.ABR) Adobe PhotoShop Brush (1002/3)

Esta información la he obtenido con la aplicación trid.

Gracias y un saludo.