日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
實(shí)戰(zhàn)還原PHP加密文件

先說環(huán)境:

目前創(chuàng)新互聯(lián)公司已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、鞏留網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-52-generic x86_64)

PHP 5.5.9-1ubuntu4.19 (cli)

實(shí)戰(zhàn)過程

手頭上有一個加密過的項(xiàng)目和一個php擴(kuò)展的動態(tài)連接庫(jinhou.so)。

PHP代碼類似如下的樣子:

 
 
    
  
  
  1.   
  
  2.  
    3.   
  
  3. /* xxxx技術(shù)有限公司版權(quán)所有: 2016-09-08 08:18:00 */ 
    4.   
  
  4.  
    5.   
  
  5. jhgo('uGpqefbDEBkqp4preQ2UaAp3RAUeJAZ5s4aERAQMkxbJTgEovHnQw6WxsA99sAhSacJCLGxZL4Q4u6zFyGveuDUoemktHGkMaB5D');?>  
    6.

根據(jù)上面分析到的已知條件有:

  1. 加密方式類似 eval 的加密方式。
  2. jhgo 包含執(zhí)行代碼跟解密代碼。
  3. jinhou.so 里面包含 jhgo 函數(shù)。

首先非常粗暴的用 VIM 打開 jinhou.so 看看有沒有什么關(guān)鍵的信息。

很不幸,明文寫著解決方案的出處。https://github.com/eixom/zoee...

看了代碼理論上這個擴(kuò)展暴露出來有兩個方法,一個執(zhí)行加密文件的方法和一個解密文件的方法。但實(shí)際上只有一個方法暴露出來,那么還有一個被狡猾的提供者刪除了。

當(dāng)然源碼我們都有了也就不計(jì)較那么多了。

試著用官方源碼編譯下然后decode一下發(fā)現(xiàn)還是不行。

再仔細(xì)研究了一下,發(fā)現(xiàn)

 里面有一串很神奇的字符串: 82dsa7dsas32112389uy7aydh8h2h2i412 心想是不是他的加密Key。再翻代碼果真是。在https://github.com/eixom/zoeeyguard/blob/master/src/guard.h 文件里面。

原來的是 28dsa7dsas12312389uy7aydh8h1h2i312。改完之后發(fā)現(xiàn)還是不行。

果真我還是Too Young Too Simple啊。

程序員心理角度分析下:一般沒人會去改代碼,基本上都是動動參數(shù)而已。是不是還有其他參數(shù)改動了?可是其他參數(shù)都是數(shù)組格式的這可頭疼了。

 
 
    
  
  
  1. /*  private key */ 
    2.   
  
  2. #define PRIVATE_KEY "28dsa7dsas12312389uy7aydh8h1h2i312" 
    3.   
  
  3. #define PRIVATE_KEY_LEN sizeof(PRIVATE_KEY) 
    4.   
  
  4.  
    5.   
  
  5. /* order */ 
    6.   
  
  6. static const unsigned char OBFUSCATED_ORDER[] = { 
    7.   
  
  7.       13,  6,  5,  7,  1, 15, 14, 20 
    8.   
  
  8.     ,  9, 16, 19,  4, 18, 10,  2,  8 
    9.   
  
  9.     , 12,  3, 11,  0, 17 
    10.   
  
  10. }; 
    11.   
  
  11. #define ORDER_SIZE sizeof(OBFUSCATED_ORDER) / sizeof(* OBFUSCATED_ORDER) 
    12.   
  
  12.  
    13.   
  
  13. /* alphabet for base64 */ 
    14.   
  
  14. static const unsigned char OBFUSCATED_ALPHABET[] = { 
    15.   
  
  15.       's', '4', 'N', 'E', 'k', 'X', 'c', 'u' 
    16.   
  
  16.     , 'J', '2', 'U', 'o', 'O', 'w', 'K', 'v' 
    17.   
  
  17.     , 'h', 'H', 'C', '/', 'D', 'q', 'l', 'R' 
    18.   
  
  18.     , 'B', 'r', '5', 'Z', 'S', 'Q', '6', 'W' 
    19.   
  
  19.     , '3', 'L', 'j', '8', '1', 'z', '0', 'G' 
    20.   
  
  20.     , 'n', 'e', 'y', 'b', 'I', 'd', 'i', 'P' 
    21.   
  
  21.     , 'A', '9', '7', '+', 'm', 'V', 'M', 'Y' 
    22.   
  
  22.     , 'F', 'g', 'f', 'p', 'a', 'T', 't', 'x' 
    23.   
  
  23. }; 
    24.   
  
  24. #define ALPHABET_SIZE 64  
    25.

這個時候得請出大殺器了:IDA Pro v6.8,反編譯神器。左邊是正常版本,右邊是jinhou.so。

[[172537]]

根據(jù)數(shù)據(jù)更改guard.h里面的文件。重新編譯下,果真成功解密出來了。

 
 
    
  
  
  1.   
  
  2.  
    3.   
  
  3. require_cache(APP_PATH.'/Lib/Action/User/AddonAction.class.php'); 
    4.   
  
  4.  
    5.   
  
  5. ?>  
    6.

事后總結(jié)

1、 這次破解沒花費(fèi)多少時間,主要感謝加密方案跟加密代碼已經(jīng)明文告訴我們。

2、 主要的時間是在試探加密參數(shù)上,很幸運(yùn)的是.so文件也沒有加殼。

3、 在破解的過程中也了解了PHP加密的缺陷性,所以才有了下一篇文章:通用PHP加密文件還原方法。


網(wǎng)頁標(biāo)題:實(shí)戰(zhàn)還原PHP加密文件
瀏覽路徑:http://www.5511xx.com/article/cdeiodh.html