Webshell的克星_在浏览器里访问本地加了密的webshell

偶然捡到一个加密的webshell，PHP神盾 Var 1.54加密的。记事本打开是一堆乱码，百度了一下有大侠搞出来了。
　　他的方法是利用php_apd扩展解密：
rename_function('gzuncompress','new_gzuncompress');
override_function('gzuncompress', '$arg', 'print(new_gzuncompress($arg)); return new_gzuncompress($arg);');
require_once 'decryption.php';
decryption('decryption.php');
?>
　　大概知道什么意思，具体不知道怎么操作，是不是还有什么办法呢?用OD尝试了一下，确实可以。
　　自己搭建一个Apache服务，并开启。
　　

　　然后od附加httpd进程，注意附加那个红色的(因为附加另一个会马上挂掉)，然后让httpd继续运行。
　　

　　现在可以在浏览器里访问本地加了密的webshell了，例如http://localhost/DebugPHP/818.php
　　到OD中搜索内存，我们已经可以看到明文了，webshell的口令也是一目了然啊:)
　　

　　

　　剩下的事就很简单了，把内存中的二进制数据复制出来保存一下就ok了。
　　我这个是PHP神盾 Var 1.54加密的，到网上搜了一个解密工具，实践了一下也可以成功解密。
　　但是这个工具本身也是加密的，不管它什么加密，如法炮制。
　　新建一个dec.php文件,其中decryption.php就是加密形式的PHP神盾 Var 1.54解密工具。
require_once 'decryption.php';
echo 'ok';
?>
　　这次更简单，直接访问http://localhost/DebugPHP/dec.php，明文又出来了，还是老位置，找都不用找。
　　

　　提取出来是这样的：
function decryption($fileName) {
    /**
     * 解码函数
     * @param  string $str 待解码字符串
     * @param  string $flg 是否解析后解码
     * @return string      已解码字符串
     */
    function decode($str, $flg = '') {
        if($flg === '') {
            $ret = $str;
        } else {
            $ret = 'ۯ'; $i = 0; $l = strlen($str);
            while($i++  $l) {
                $c = ord($str[$i-1]);
                $ret .= $c245 ? ( $c>136 ? chr($c/2) : $str[$i-1] ) : "";
            }
        }
        return base64_decode($ret);
    }
   
    $err = '解码遇到错误，请联系教主处理该文件!';
    $str = file_get_contents($fileName);
    $path = pathinfo($fileName);
    $dirname = $path['dirname']; // 文件所在目录
    $baseName = $path['filename']; // 文件名
   
   
    if (preg_match('|IN_DECODE_(\w{32})|s', $str, $arr)) {
        // 防止解密自己，其实方法都已经告诉你了，自己动手解码才快乐
        $arr[1] === '761b5f52db6dff7ce91344e99dcedab7' && die("err: [-1] - 请勿试图用本工具解密本工具！");
    } else {
        die("err: [-1] - 没有发现神盾特征，你确定这是神盾加密？");
    }
   
    // 匹配代码主题部分
    // '';@\$[\x00-\xff]+\(\\'([\x00-\xff]+?)\\'\.\(
    preg_match('|\'\';@\$[\x00-\xff]+\(\\\\\'([\x00-\xff]+?)\\\\\'\.\(|s', $str, $arr) || die("err: [0] - ".$err);
    $code = $arr[1];
    // 匹配中间加密部分
    preg_match('|\(\'([\x00-\xff]+)\',\'|s', $code, $arr) || die("err: [1] - ".$err);
    $key = base64_decode(decode($arr[1], "decode"));

    $code = preg_replace('|\'\.[\x00-\xff]+\'\)\)\.\'|s', $key, $code);
    // 匹配尾部被加密代码
    preg_match('|=\'(x[\x00-\xff]+)\'\)\);|s', $str, $arr) || die("err: [2] - ".$err);
    $core = $arr[1];
    // 匹配验证key
    preg_match('|[\w+/=]{59}=|s', $arr[1], $arr) || die("err: [3] - ".$err);
    $key = $arr[0];
    $core = str_replace($key, '', $core); // 去除key
    $suffix = gzuncompress($core); // 得到 base64 的末尾部分
    // 解码
    $code = gzuncompress(base64_decode($code . $suffix));
    // 匹配干净的代码
    if (preg_match('|!--\?php endif;\?>(\?php[\r\n]{1,2}[\x00-\xff]+\?>)\?php \$GLOBALS\[|s', $code, $arr)) {
        $code = $arr[1];
    }
    // 写到文件
    $source = $dirname . DIRECTORY_SEPARATOR . $baseName . "_source.php";
    file_put_contents($source, $code);
    die("解密成功，已经保存为: " . $source);
}
?>
　　调试了一下，主要是正则表达式的使用，眼睛都看花了。