先說環(huán)境:
目前創(chuàng)新互聯(lián)公司已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名�����、網(wǎng)絡(luò)空間、網(wǎng)站托管維護���、企業(yè)網(wǎng)站設(shè)計、鞏留網(wǎng)站維護等服務(wù)��,公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略���,正道將秉承"和諧��、參與�、激情"的文化����,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展���。
Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-52-generic x86_64)
PHP 5.5.9-1ubuntu4.19 (cli)
實戰(zhàn)過程
手頭上有一個加密過的項目和一個php擴展的動態(tài)連接庫(jinhou.so)���。
PHP代碼類似如下的樣子:
-
-
- /* xxxx技術(shù)有限公司版權(quán)所有: 2016-09-08 08:18:00 */
-
- jhgo('uGpqefbDEBkqp4preQ2UaAp3RAUeJAZ5s4aERAQMkxbJTgEovHnQw6WxsA99sAhSacJCLGxZL4Q4u6zFyGveuDUoemktHGkMaB5D');?>
根據(jù)上面分析到的已知條件有:
- 加密方式類似 eval 的加密方式。
- jhgo 包含執(zhí)行代碼跟解密代碼�。
- jinhou.so 里面包含 jhgo 函數(shù)。
首先非常粗暴的用 VIM 打開 jinhou.so 看看有沒有什么關(guān)鍵的信息�。
很不幸,明文寫著解決方案的出處�����。https://github.com/eixom/zoee...
看了代碼理論上這個擴展暴露出來有兩個方法�����,一個執(zhí)行加密文件的方法和一個解密文件的方法。但實際上只有一個方法暴露出來�,那么還有一個被狡猾的提供者刪除了。
當(dāng)然源碼我們都有了也就不計較那么多了�。
試著用官方源碼編譯下然后decode一下發(fā)現(xiàn)還是不行。
再仔細研究了一下��,發(fā)現(xiàn)
里面有一串很神奇的字符串: 82dsa7dsas32112389uy7aydh8h2h2i412 心想是不是他的加密Key���。再翻代碼果真是。在https://github.com/eixom/zoeeyguard/blob/master/src/guard.h 文件里面���。
原來的是 28dsa7dsas12312389uy7aydh8h1h2i312����。改完之后發(fā)現(xiàn)還是不行���。
果真我還是Too Young Too Simple啊�。
程序員心理角度分析下:一般沒人會去改代碼���,基本上都是動動參數(shù)而已��。是不是還有其他參數(shù)改動了?可是其他參數(shù)都是數(shù)組格式的這可頭疼了��。
- /* private key */
- #define PRIVATE_KEY "28dsa7dsas12312389uy7aydh8h1h2i312"
- #define PRIVATE_KEY_LEN sizeof(PRIVATE_KEY)
-
- /* order */
- static const unsigned char OBFUSCATED_ORDER[] = {
- 13, 6, 5, 7, 1, 15, 14, 20
- , 9, 16, 19, 4, 18, 10, 2, 8
- , 12, 3, 11, 0, 17
- };
- #define ORDER_SIZE sizeof(OBFUSCATED_ORDER) / sizeof(* OBFUSCATED_ORDER)
-
- /* alphabet for base64 */
- static const unsigned char OBFUSCATED_ALPHABET[] = {
- 's', '4', 'N', 'E', 'k', 'X', 'c', 'u'
- , 'J', '2', 'U', 'o', 'O', 'w', 'K', 'v'
- , 'h', 'H', 'C', '/', 'D', 'q', 'l', 'R'
- , 'B', 'r', '5', 'Z', 'S', 'Q', '6', 'W'
- , '3', 'L', 'j', '8', '1', 'z', '0', 'G'
- , 'n', 'e', 'y', 'b', 'I', 'd', 'i', 'P'
- , 'A', '9', '7', '+', 'm', 'V', 'M', 'Y'
- , 'F', 'g', 'f', 'p', 'a', 'T', 't', 'x'
- };
- #define ALPHABET_SIZE 64
這個時候得請出大殺器了:IDA Pro v6.8�,反編譯神器。左邊是正常版本�,右邊是jinhou.so。
[[172537]]
根據(jù)數(shù)據(jù)更改guard.h里面的文件���。重新編譯下�,果真成功解密出來了�����。
-
-
- require_cache(APP_PATH.'/Lib/Action/User/AddonAction.class.php');
-
- ?>
事后總結(jié)
1��、 這次破解沒花費多少時間�����,主要感謝加密方案跟加密代碼已經(jīng)明文告訴我們��。
2����、 主要的時間是在試探加密參數(shù)上��,很幸運的是.so文件也沒有加殼�����。
3��、 在破解的過程中也了解了PHP加密的缺陷性����,所以才有了下一篇文章:通用PHP加密文件還原方法�����。
本文標題:實戰(zhàn)還原PHP加密文件
本文路徑:
http://uogjgqi.cn/article/cdeiodh.html
