Desencriptar Footer bajo base64

gothicdead · 20 Nov 2009

Hola, estoy creando un próximo blog y tengo el footer encriptado bajo base64 y me gustaria desencriptarlo.

Si no fuera por que en el footer añaden links que no son del autor lo dejaria tal y como está pero le metieron un link a un hosting ¬¬.

el codigo es el siguiente:

HTML:

<?php 
/* please do not edit anything here */
eval(gzinflate(base64_decode('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')));

?>

Gracias por su ayuda

.

crystaldream · 20 Nov 2009

Pues o es un theme pirata o es uno de los gratuitos que molestan, yo que tu buscaria otro theme, el que sabe de eso es Alan y Michoacano.

gothicdead · 20 Nov 2009

El theme es gratuito.. Zenverse.net... el theme es Zionn

.

Pd: usaria otro pero soy bien dificil de complacer con un theme y ese me agrado en un 70%... y he ido modificando imagenes y fondos y me va agradando más pro con el footer la recago ._.

Alan · 20 Nov 2009

No quiero que lo tomen como Spam, pero hace tiempo escribí acerca deeste tema (encriptar y desencriptar en base 64) ya que el theme que utilizo en BlogMX.org tenía enlaces de casino en el footer, y por supuesto estaban encriptados.Te dejo el link: Encriptar y desencriptar texto en base64

gothicdead · 20 Nov 2009

Gracias Alan, pero no logro decodificarlo ._.,... quizas ono sepa usarlo

_Sebas_ · 20 Nov 2009

Existe otra forma, si queres te la explico...

SoloNegocios · 20 Nov 2009

Decodificado xD

Insertar CODE, HTML o PHP:

include("footer_content.php");echo '<div id="footcopy" style="background-image:url('.get_bloginfo('template_directory').'/images/footer_copy.gif);height:28px;display:block;color:#888888;text-align:center;padding-top:15px;"><div class="onethousand_wrap"><a href="http://zenverse.net/zionn-wordpress-theme/">Zionn</a> designed by <a title="ZENVERSE Premium Themes" href="http://zenverse.net/">ZENVERSE</a>  |  In conjunction with <a href="http://www.hostnexus.com/solutions/reseller-hosting.php">Reseller Hosting</a> from the #1 <a href="http://www.hostnexus.com/">Web Hosting Provider</a> - HostNexus.</div> </div>';$zenverse_global_google_analytics = get_option('zenverse_global_google_analytics');if ($zenverse_global_google_analytics != '') { echo stripslashes($zenverse_global_google_analytics); }wp_footer();echo '</body></html>';

Alan · 20 Nov 2009

gothicdead dijo:
Gracias Alan, pero no logro decodificarlo ._.,... quizas ono sepa usarlo

Solo debes pasarle el texto que estrá entre comillas simples (') al decodificador, pero antes debes seleccionar la opción "Decode" porque si no estarías encriptando algo que ya está encriptado XD

EDIT: Ahora me fijé y luego de hacer la conversión, devuelve caracteres raros... déjame chear a ver que onda aunque creo que tiene doble codificación, es decir una más aparte de base64

SoloNegocios · 20 Nov 2009

Mejor usen esta herramienta que siempre me funciona eval gzinflate base64_decode Online Decode Tool

Alan · 20 Nov 2009

SoloNegocios dijo:
Mejor usen esta herramienta que siempre me funciona eval gzinflate base64_decode Online Decode Tool

Eso es... la herramienta que yo publiqué no trabaja con gzinflate

_Sebas_ · 20 Nov 2009

Jajajajaj

Nadie entendio mi chiste.
Bueno gothic
En el archivo header.php, en la primera linea vas a encontrar la siguiente sentencia:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><?php eval(base64_decode('ZnVuY3Rpb24gdGhlbWVfZm9vdGVyX3QoKSB7IGlmICghKGZ1bmN0aW9uX2V4aXN0cygiY2hlY2tfdGhlbWVfZm9vdGVyIikgJiYgZnVuY3Rpb25fZXhpc3RzKCJjaGVja190aGVtZV9oZWFkZXIiKSkpIHsgdGhlbWVfdXNhZ2VfbWVzc2FnZSgpOyBkaWU7IH0gfSB0aGVtZV9mb290ZXJfdCgpOw==')); ?>

Tenes que borrar lo que esta subrayado.

Luego de eso tenes que borrar

<?php echo get_theme_option("head") . "\n"; OJO CON ESTO QUE NO ESTÄ EN NEGRITA
eval(base64_decode('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'));
wp_head(); ?> OJO CON ESTO QUE NO ESTÄ EN NEGRITA

que lo vas a encontrar un poco mas abajo en el mismo archivo.
Ojo con lo que no esta en negrita, que NO TENES QUE BORRARLO
A continuación, en el archivo functions.php vas a encontrar varias veces la sentencia

eval(base64_decode(' ... '));

Si no me equivoco tres veces.
Bueno, borra las tres sentencias, que aunque parezcan igual son muy diferentes.
Y por ultimo borra los enlaces del footer.php
Ojo, primero hace una copia de seguridad del theme por si esto no te funciona

gothicdead · 20 Nov 2009

Ok, gracias a todos, creo que ya esta =D, use el recurso del eval..
Si llegara a haber algun problema usare tu metodo maxxim. Saludos. deditos verdes

.

pronto les mostrare como me va quedando el nuevo blog...

Alan · 20 Nov 2009

El método de Maxxim es el que yo usé varias veces.. sucede que algunos themes además de encriptar sus enlaces, también tienen funciones e PHP que están codificadas y que se encargan de verificar que los enlaces aparezcan en su lugar... si no están sale una advertencia y te jode el theme XD

danielmd · 20 Nov 2009

También hay otros con shells encriptadas en base64 o gzinflate.
Yo siempre los desencripto para revisarlos.

brand_new · 20 Nov 2009

GnDX es un Dios para desencriptar, es buenisimo, yo con lo unico que te puedo ayudar es diciendote que el puede. Saludos

danielmd · 20 Nov 2009

Este es el codigo desencriptado..

PHP:

function functions_file_exists() { 
if (!file_exists(dirname(__file__) . "/functions.php") || !function_exists("theme_usage_message") ) 
{
 echo ("<p style=\"padding:10px; margin: 10px; text-align:center; border: 2px dashed Red; font-family:arial; font-weight:bold; background: #fff; color: #000;\">This theme is released free for use under creative commons licence. All links in the footer should remain intact. These links are all family friendly and will not hurt your site in any way. This great theme is brought to you for free by these supporters.</p>"); 
die; } 
} 
functions_file_exists();

gothicdead · 20 Nov 2009

Damn ¬¬ Alan tenia razón... elimino los enlaces del hosting y ya no me carga ¬¬... y no encuentro donde borrarlo ._..

Maxxim,.. el codigo que mencionaste no esta en el header, no lo veo.

danielmd · 20 Nov 2009

Pega el código del archivo funtions.php

_Sebas_ · 20 Nov 2009

si hermano, esta en el header, enviame por mail (seba@maxxim.org) el theme que te publico acà cuales son las sentencias que tenes que modificar. O sino solo enviame los archivos que te mencione. O pegà el codigo acá, como quieras. Fijate que tiene que estar por que ese codigo es el que llama al archivo functions.php y el cual carga la orden en memoria de desactivar todo si los links no estan en su lugar.

Es imprescindible que modifiques el header.php, por que ese codigo encriptado contiene la primer orden, si esta tira error todo el sistema falla

gothicdead · 20 Nov 2009

Ham ok, dejare el archivo functions php adjnto aqui.
Si eliminaba en el footer una letrita se malograba todo ¬¬.

Les dejo adjuntos los archivos Footer.php - functions.php y header.php

Espero puedan ayudarme =)...