|
|
今天碰到一个网站的源码用的是以下的加密方式,看起来很乱但又有一定的规律,找了下破解方式+ V- a7 B5 A; Q% V2 a0 l
文件加密方式,变量混淆+字符串加密$ I. i8 ?( b5 V9 _4 K$ e3 w$ ]
文件原始内容 :" q* v9 a, a7 W1 \( m* n
$OOO0O0O00=__FILE__;, Z; o% f* C, k
$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');# ` u' H8 [0 u; r3 b1 t
$OO00O0000=164;+ K2 i( w) s1 i0 P9 v4 O% e5 d4 @* s
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};
( ^* V$ }2 S) }0 h! K/ M4 O- F $OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
+ j$ ?, o- k1 `, o9 X $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};
# b* l- r% D1 d/ s6 i; j/ d; m $O0O0000O0='OOO0000O0';
( ?' U- X/ D$ S eval(($$O0O0000O0('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')));( Q; h; G' K+ D( U! `2 ?9 p7 L$ `
return;?>4 e4 s0 H4 \' C0 e+ Y- Z0 |
这是一段php代码,后面跟了一串加密过的字符串。1 I8 T5 o9 `; g7 L' j% Y4 [9 o2 D
很显然,开头的这几行代码是执行解密的,或者是解密的前秦工作。
, }* a( P2 h& P" }. T7 e9 A* I 进行分析:
1 F/ M0 {, r7 m9 n( y' D $OOO0O0O00=__FILE__;//本文件路径和文件名) [: V- u+ |4 O) l; b/ ^% Y
//字符串用于下面构造新的字符串
. I) O3 K" Y" `1 y* Y8 }- g $OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');
" D' M8 z! O4 z9 f1 X% c //下面几行构造字符串base64_decode
1 J/ m8 b" ]7 ^ $OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};3 e( w1 o, P+ v R% _7 E
$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};
( W0 [* q5 H. k% {: T $OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};1 f. I2 ^3 M* ]2 y
//下面通过base64 decode生成一段读取自身文件的代码,先读取了若干字节,丢弃了,分析可能是头部执行初步解密的PHP代码,接着又读取700字节,进行字符串变换 base64_decode之后,得到一段继续读取文件解密的代码,经分析发现,第二次读取的700 字节中包含一版权声明的代码。第三次读取文件后经过解密,得到了原始代码 。解密过程分析完毕,下面开始写破解算法,
6 e s' N: V4 W/ {# Y% h" f function crack($src, $dst) {
' q! ?1 T/ o+ O. E1 K( Z $content = file_get_contents($src);( p2 s5 R% x0 A: [( j) d+ U% C. \- U
$pos = strpos($content, '?>');# ]0 V" a* R" S( {5 {
//删除读取文件的代码3 U$ }$ { u0 g$ ~
$code = substr($content, $pos + 3);
: `4 K# @' l; u+ g- G //删除解码代码
$ j) w. G. E8 A# U( _9 U $code = substr($code, 700);" m) Q* V, Y; h5 f4 X
//解码目标代码5 p* k+ w9 c' u# S- t* S, N! B7 a& d- E
$cracked = base64_decode(strtr($code, 'EnteryouwkhRHYKNWOUTAaBbCcDdFfGgPpQqSsVvXxZz0123456789+/=', 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklvwxyz0123456789+/'));
G% a X2 ^) K0 L //写入目标文件
! I& ~' z |! u0 q0 c file_put_contents($dst, "<?php " . $cracked . " ?>");: S7 D. U2 l" Q; m
log_info("解码文件:$src 至 $dst 完成");# t+ ]1 t4 Q4 P+ _! @8 G1 m7 F* J
}
% z3 }. L8 M: W7 V8 T2 t7 J: U 使用该函数对加密的文件进行解密,打开解密的文件 ,格式化代码,原始代码完善呈现!
9 G) H g7 ~" ?( q5 q3 Q在线解密工具:http://www.niusoso.net/vidun-decode.php# ^- Y" N( e/ \6 ?! O. |' g6 k$ f
7 V7 {7 I2 a8 S# [
% t+ x$ {" X$ ?) l, }
|
|
发表于 2014-7-15 17:15:34
千斤顶
显身卡
发表于 2016-11-11 11:10:34
& p+ R `7 @9 f, A
鲁公网安备 37021102000261号