|
|
今天碰到一个网站的源码用的是以下的加密方式,看起来很乱但又有一定的规律,找了下破解方式
9 M" f; x3 x& d) ^/ E4 ^文件加密方式,变量混淆+字符串加密
+ Z- A. c9 A% s 文件原始内容 :
/ x. {& D( l. l$ g3 i2 @3 G* m $OOO0O0O00=__FILE__;
/ Q/ T9 [( G* j8 k- l+ z! l $OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');/ ~ \# f1 u6 ~" O. u" v
$OO00O0000=164;$ P0 x( _3 F! D7 J
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
! R4 _1 P" X" q7 C$ m( S $OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};8 k9 }5 ~ G) ~ L- L% e
$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
- j1 L$ ] d% n* _6 I' v4 _ c! B $O0O0000O0='OOO0000O0';
, L/ a3 Q1 l0 k9 Z( r2 U eval(($$O0O0000O0('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')));
$ }1 ~5 m7 ? N4 |3 N# C8 B. K return;?>/ c' O- Z& B: U F- P. w) H
这是一段php代码,后面跟了一串加密过的字符串。* F2 q4 ^' |7 K' v
很显然,开头的这几行代码是执行解密的,或者是解密的前秦工作。
9 m/ C8 S6 s6 L7 K& s$ q! } 进行分析:
% T( |& Y; O; w& q' p B $OOO0O0O00=__FILE__;//本文件路径和文件名) k5 n: Z, @4 \7 t n
//字符串用于下面构造新的字符串5 R' I# h1 F6 w$ O
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
- x' I/ Z2 Y- h+ X; m //下面几行构造字符串base64_decode
3 O- ^* `9 x& b- Z7 j- J% E $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};6 S, ]& r9 F% L
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
, _4 F0 s* d9 B( J) t $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
3 y. N/ B5 l. V- N8 O //下面通过base64 decode生成一段读取自身文件的代码,先读取了若干字节,丢弃了,分析可能是头部执行初步解密的PHP代码,接着又读取700字节,进行字符串变换 base64_decode之后,得到一段继续读取文件解密的代码,经分析发现,第二次读取的700 字节中包含一版权声明的代码。第三次读取文件后经过解密,得到了原始代码 。解密过程分析完毕,下面开始写破解算法,. s% Y1 B9 I3 I5 h, R
function crack($src, $dst) {+ q$ L7 I& j! B1 q9 M1 e3 F
$content = file_get_contents($src);
2 `- Q% Y9 R8 K+ [: R $pos = strpos($content, '?>');
# m+ ]9 K; j: b: q$ p+ f //删除读取文件的代码0 c, T9 p x" @2 F! {* W/ Y
$code = substr($content, $pos + 3);
7 j+ S( n. W$ c //删除解码代码+ T. ^: w# A% P8 o4 X8 M# m8 C
$code = substr($code, 700);) H) n" N# w/ q" Q% a
//解码目标代码
& P/ M2 U1 c- x0 K9 { $cracked = base64_decode(strtr($code, 'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgPpQqSsVvXxZz0123456789+/=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklvwxyz0123456789+/'));
: A- j% R, |) ~/ P4 k2 ^5 x' t //写入目标文件
7 E+ O/ @0 \% g7 L9 ]0 y file_put_contents($dst, "<?php " . $cracked . " ?>");
" q& @ B7 J) o1 T! Z) v) K log_info("解码文件:$src 至 $dst 完成");3 X% e# P5 F$ \, L# I, B
}
' ]! A7 r6 F$ |5 | 使用该函数对加密的文件进行解密,打开解密的文件 ,格式化代码,原始代码完善呈现!
, S5 N: X1 C# \/ V9 o, w6 R/ W在线解密工具:http://www.niusoso.net/vidun-decode.php: `1 ~- _9 s; H( U; ]) [2 V- p
, ~' {2 Y' S% x& u2 s, L) C
- s8 y, K! }& N
|
|