|
|
今天碰到一个网站的源码用的是以下的加密方式,看起来很乱但又有一定的规律,找了下破解方式
; @- I7 H* J) R$ F. |" x2 @. ^ O文件加密方式,变量混淆+字符串加密: m# {6 e5 g! g0 A' p" i7 e
文件原始内容 :
+ ]# j6 i9 w: i# h# R2 ] $OOO0O0O00=__FILE__;
% M, R& h1 t3 K- _" p $OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');* c- u U. d2 ^; n% W
$OO00O0000=164;
# p7 s d% ]- u $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
$ \6 k9 ]; X. p6 ]( Z2 m $OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
8 E# t: Z9 ^9 t. N $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
9 f. ^( l6 `; u3 H $O0O0000O0='OOO0000O0';
, K8 t& s% Y0 t eval(($$O0O0000O0('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')));
i7 j+ e. x, {: ` return;?>( U/ G7 p1 V, D; p
这是一段php代码,后面跟了一串加密过的字符串。. K q+ z" h9 Q2 f! E# @6 P2 V% i
很显然,开头的这几行代码是执行解密的,或者是解密的前秦工作。
$ @/ L# Q- E7 P s3 ^+ ~ 进行分析:& a/ W, f, W+ R" m
$OOO0O0O00=__FILE__;//本文件路径和文件名
+ e) l. E" f4 S/ j4 u' w //字符串用于下面构造新的字符串: i, z2 k" `8 c
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
. R* R; { Q: ?3 N; z5 i: h7 P3 f //下面几行构造字符串base64_decode
# D: X* b, J8 C! u $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};! F8 |- v5 p6 W) i6 s
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
. r' |4 c \8 _" |9 k $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};. D7 {( F, ~' b! X+ m3 j# m1 Z9 }
//下面通过base64 decode生成一段读取自身文件的代码,先读取了若干字节,丢弃了,分析可能是头部执行初步解密的PHP代码,接着又读取700字节,进行字符串变换 base64_decode之后,得到一段继续读取文件解密的代码,经分析发现,第二次读取的700 字节中包含一版权声明的代码。第三次读取文件后经过解密,得到了原始代码 。解密过程分析完毕,下面开始写破解算法,5 X: B. X% K( A, k
function crack($src, $dst) {. e7 V+ C v3 w* p7 q$ P+ _0 M
$content = file_get_contents($src);
0 p' Q0 S2 j; U% m2 q! e; a $pos = strpos($content, '?>');$ q; ^3 R0 r' F" ^* v
//删除读取文件的代码
+ E2 {. `: R0 x $code = substr($content, $pos + 3);
" o! F! d( N0 H, s* w9 B k! V //删除解码代码
& \* } H2 K U' T; o) a+ {6 ` $code = substr($code, 700);
6 L3 p8 y9 ?' ~4 e //解码目标代码
; c# L6 g0 I# j- C: i% B $cracked = base64_decode(strtr($code, 'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgPpQqSsVvXxZz0123456789+/=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklvwxyz0123456789+/'));
! i' ~* e' m h! ~ //写入目标文件
6 J. k+ |3 o: h! _$ Z* Z( m file_put_contents($dst, "<?php " . $cracked . " ?>");0 r- |8 D$ k' P5 K/ H7 l! I8 P
log_info("解码文件:$src 至 $dst 完成");
2 ]. Q2 k/ k6 I }: R9 C- _6 n) y2 [+ `5 J+ M0 ?1 K: f
使用该函数对加密的文件进行解密,打开解密的文件 ,格式化代码,原始代码完善呈现!
2 ]8 b( t5 G# s/ B9 k+ X在线解密工具:http://www.niusoso.net/vidun-decode.php% }1 p' p o+ p0 t- {+ O, M
& P. _% ]& J2 F# Q1 I
/ S6 ]4 H2 Z! O4 p
|
|
发表于 2014-7-15 17:15:34
千斤顶
显身卡
发表于 2016-11-11 11:10:34
8 E! P3 W4 c* ?5 W1 A9 K$ h/ \5 G. T
鲁公网安备 37021102000261号