Encontré este webshell pero no puedo obtener el texto simple ya que no tengo el secreto / contraseña para descifrarlo completamente.
Esta es la parte donde me falta información: md5($_POST['_f__f'])
¿Alguien tiene alguna idea de cómo descodificar esto y qué es y lo hace o lo reconoce?
La carga útil se encripta utilizando un simple cifrado de autokey , usando md5($_f__f).substr(md5(strrev($_f__f)),0,strlen($_f__f)) como contraseña. Puede probar las técnicas habituales para atacar cifrados de autoclave, pero la longitud de la contraseña (al menos 32 caracteres) y el hecho de que el texto en claro esté comprimido con gzip lo hace poco práctico.
Esta función calcula el hash MD5 a partir del valor POST "_f__f". Es imposible obtener el valor original de un hash MD5 porque es un hash y no un cifrado.