偶然捡到一个加密的webshell,PHP神盾 Var 1.54加密的。记事本打开是一堆乱码,百度了一下有大侠搞出来了。
他的方法是利用php_apd扩展解密:
rename_function('gzuncompress','new_gzuncompress');
override_function('gzuncompress', '$arg', 'print(new_gzuncompress($arg)); return new_gzuncompress($arg);');
require_once 'decryption.php';
decryption('decryption.php');
?>
大概知道什么意思,具体不知道怎么操作,是不是还有什么办法呢?用OD尝试了一下,确实可以。
自己搭建一个Apache服务,并开启。
然后od附加httpd进程,注意附加那个红色的(因为附加另一个会马上挂掉),然后让httpd继续运行。
现在可以在浏览器里访问本地加了密的webshell了,例如http://localhost/DebugPHP/818.php
到OD中搜索内存,我们已经可以看到明文了,webshell的口令也是一目了然啊:)
剩下的事就很简单了,把内存中的二进制数据复制出来保存一下就ok了。
我这个是PHP神盾 Var 1.54加密的,到网上搜了一个解密工具,实践了一下也可以成功解密。
但是这个工具本身也是加密的,不管它什么加密,如法炮制。
新建一个dec.php文件,其中decryption.php就是加密形式的PHP神盾 Var 1.54解密工具。
require_once 'decryption.php';
echo 'ok';
?>
这次更简单,直接访问http://localhost/DebugPHP/dec.php,明文又出来了,还是老位置,找都不用找。
提取出来是这样的:
function decryption($fileName) {
/**
* 解码函数
* @param string $str 待解码字符串
* @param string $flg 是否解析后解码
* @return string 已解码字符串
*/
function decode($str, $flg = '') {
if($flg === '') {
$ret = $str;
} else {
$ret = 'ۯ'; $i = 0; $l = strlen($str);
while($i++ $l) {
$c = ord($str[$i-1]);
$ret .= $c245 ? ( $c>136 ? chr($c/2) : $str[$i-1] ) : "";
}
}
return base64_decode($ret);
}
$err = '解码遇到错误,请联系教主处理该文件!';
$str = file_get_contents($fileName);
$path = pathinfo($fileName);
$dirname = $path['dirname']; // 文件所在目录
$baseName = $path['filename']; // 文件名
if (preg_match('|IN_DECODE_(\w{32})|s', $str, $arr)) {
// 防止解密自己,其实方法都已经告诉你了,自己动手解码才快乐
$arr[1] === '761b5f52db6dff7ce91344e99dcedab7' && die("err: [-1] - 请勿试图用本工具解密本工具!");
} else {
die("err: [-1] - 没有发现神盾特征,你确定这是神盾加密?");
}
// 匹配代码主题部分
// '';@\$[\x00-\xff]+\(\\'([\x00-\xff]+?)\\'\.\(
preg_match('|\'\';@\$[\x00-\xff]+\(\\\\\'([\x00-\xff]+?)\\\\\'\.\(|s', $str, $arr) || die("err: [0] - ".$err);
$code = $arr[1];
// 匹配中间加密部分
preg_match('|\(\'([\x00-\xff]+)\',\'|s', $code, $arr) || die("err: [1] - ".$err);
$key = base64_decode(decode($arr[1], "decode"));