1 (edited by max258711 2020.10.11 13:15)

Topic: Декодирование расширения Read Only Users

Привет всем! Постоянно ругался на расширение Read Only Users антивирус и я решил его декодировать. И очень получил интересную картину:
Установка расширения:

Имеем:

eval(gzinflate(base64_decode('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')));

После декодирования получаем:

if (!$forum_db->field_exists('users', 'read_only')) $forum_db->add_field('users', 'read_only', 'INT', false, '0'); if (!$forum_db->field_exists('users', 'read_only_expire')) $forum_db->add_field('users', 'read_only_expire', 'INT(10)', false, '0'); if (isset($id) && isset($forum_config['o_webmaster_email']) && !empty($forum_config['o_webmaster_email'])) { $cur_manifest = is_readable(FORUM_ROOT.'extensions/'.$id.'/manifest.xml') ? file_get_contents(FORUM_ROOT.'extensions/'.$id.'/manifest.xml') : false; if ($cur_manifest) $extension_data = xml_to_array($cur_manifest); $to = 'ПОЧТУ АВТОРА РАСШИРЕНИЯ УБРАЛ'; $subject = (isset($extension_data)) ? 'Установка расширения '.$extension_data['extension']['title'] : 'Установка расширения!'; $ex_name = (isset($extension_data)) ? $extension_data['extension']['title'] : $id; $ex_vers = (isset($extension_data)) ? ', версия: '.$extension_data['extension']['version'] : ''; $message = date('d.m.Y').' в '.date('H:i').','."\n\n".' На сайте: '.' '.$base_url.','."\n".' Установлено расширение: '.' "'.$ex_name.'" '.$ex_vers."\n\n".' Установил: '.' '.$forum_user['username']."\n".' E-mail: '.' '.$forum_user['email']."\n\n".' Почтовый робот сайта: '.' '.$forum_config['o_board_title'].'.'; if (!defined('FORUM_EMAIL_FUNCTIONS_LOADED')) require FORUM_ROOT.'include/email.php'; forum_mail($to, $subject, $message); }

Эта строка отвечает за установку расширения...
Для тех кто ничего не понял из этого кода, поясню что делает расширение при установке:
- Отправляет на почту автора расширения название расширения которое вы установили
- Отправляет версию расширения
- Отправляет дату, во сколько вы его установили
- Отправляет ссылку на ваш сайт
- Отправляет ваш ник на форуме
- (Если я правильно понял) Отправляет вашу почту которая указана в вашем аккаунте
- Отправляет почту вашего сайта

Удаление расширения:

Имеем:

eval(gzinflate(base64_decode('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')));

Получаем:

$forum_db->drop_field('users', 'read_only'); $forum_db->drop_field('users', 'read_only_expire');

Эта строка отвечает за удаление расширения и все PunBB_INFO_ICQ/smile .

Хотя мне от этого ни холодно ни жарко, но все равно было интересно узнать что там скрыто (запретный плод сладок  PunBB_INFO_ICQ/bigsmile ).

3

2

Re: Декодирование расширения Read Only Users

PunBB_INFO_ICQ/thumbsup теперь у нас есть тема для обсуждения этого расширения))

Скачать можно здесь Read Only Users

2

3

Re: Декодирование расширения Read Only Users

max258711 wrote:

После декодирования получаем:

Так выпили этот хук в манифесте и все...

1