eval类php混淆解密

瞎玩…

0x0 前言

最近在分析一款外挂的时候, 看到了该外挂授权的后台地址…. emmm… 好奇心驱使想看看有多少人在用外挂, 搜了下发现还是授权果然是第三方sdk的…

0x1 分析授权后端

google大法搜到了泄漏的授权后端, 可能不是最新的, 发现是php的, 而且是混淆的, 尝试了一些在线解密, 要么不能用, 要么就是要收费…. emmm

92.png

看到了eval关键字, 搜了下有两种解决方式

  1. hook php中的eval把参数给打出来, 具体细节
  2. eval改exit echo之类的会输出参数

我这么懒…当然选第二种, 但是发现eval还不止一层…

93.png

得…写脚本跑吧, 代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
import os
import sys
import subprocess

phpPath = r"D:\app\php\php.exe "

#变量 不可见字符
code1 = b'\xEF\xBF\xBD'
code2 = b'\xEE\x91\xA9'

#把乱码替换为可见字符
def replaceVarName(data):
    data = data.replace(str(code1, 'utf-8'), 'l')
    data = data.replace(str(code2, 'utf-8'), 'l')
    return data

# 获取shell返回
def getShellResult(shellcmd):
    r = os.popen(shellcmd)
    r = r.buffer.read().decode(encoding='utf-8')
    # t = ""
    # for i in range(len(r)-1):
    #     t = t + r[i+1]
    return r.replace('Active code page: 65001\r\n', '')

#截断变量名称, 会导致变量名冲突..
def opVarName(t):
    while True:
        if(t.find("lll") == -1):
            break
        t = t.replace("lll", "l")
    
    return t

# 解密单个文件
def decryptFile(filePath):
    count = 0
    f = open(filePath, 'r', encoding='utf-8')
    data = f.read()
    before = ''
    while True:
        idx = data.find("eval")
        if (idx == -1):
            break
        
        # 先替换变量名
        data = replaceVarName(data)

        if count == 0:
            before = data[:idx]
        
        data = data.replace("eval", "exit")
        if count == 0:
            open(filePath, 'w', encoding="utf-8").write(data)
        else:
            open(filePath, 'w', encoding="utf-8").write(before + data + "?>")

        
        # 执行
        r = getShellResult(phpPath + filePath)
        # 结果再替换
        data = replaceVarName(r)
        # 计数器
        count = count + 1
    

    # 写回结果
    open(filePath, 'w', encoding="utf-8").write(opVarName(data))
    # print(opVarName(data))



if __name__ == "__main__":
    # 遍历目录下所有php文件
    Epath=os.walk(r'[path]')
    for path,dir,filelist in Epath:
        for filename in filelist:
            if(filename.find('.php') != -1):
                try:
                    p = (path+"\\"+filename).replace("\\", "/")
                    print("[*] " + p)
                    decryptFile(p)
                except Exception as e:
                    print("decrypt error : " + str(e) + " | " + path+"\\"+filename)

接下来就一把梭… 倒杯茶去…

94.png

总算能看了…

95.png

结果就尴尬了… 因为太菜了… 看半天也没看出能利用的点… 还是经过朋友提醒, 说这验证低版本有个越权查看日志的洞… 试一试的心态还真可以~-~

接下来就是一套组合拳, 成功拿到了后台账密… 发现竟然有3000+个用户, emmm…. 提交给游戏公司算了

96.png

最后…逆着逆着变渗透了… 感觉逆向好像比渗透苦逼一点啊哈哈哈, 以后做事情要多收集信息资源, 少走弯路…. 哎

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;