实战还原PHP加密文件

开发 前端
手头上有一个加密过的项目和一个php扩展的动态连接库(jinhou.so)。 这次破解没花费多少时间,主要感谢加密方案跟加密代码已经明文告诉我们。

[[172536]]

先说环境:

Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-52-generic x86_64)

PHP 5.5.9-1ubuntu4.19 (cli)

实战过程

手头上有一个加密过的项目和一个php扩展的动态连接库(jinhou.so)。

PHP代码类似如下的样子:

  1. <?php 
  2.  
  3. /* xxxx技术有限公司版权所有: 2016-09-08 08:18:00 */ 
  4.  
  5. jhgo('uGpqefbDEBkqp4preQ2UaAp3RAUeJAZ5s4aERAQMkxbJTgEovHnQw6WxsA99sAhSacJCLGxZL4Q4u6zFyGveuDUoemktHGkMaB5D');?>  

根据上面分析到的已知条件有:

  1. 加密方式类似 eval 的加密方式。
  2. jhgo 包含执行代码跟解密代码。
  3. jinhou.so 里面包含 jhgo 函数。

首先非常粗暴的用 VIM 打开 jinhou.so 看看有没有什么关键的信息。

 

很不幸,明文写着解决方案的出处。https://github.com/eixom/zoee...

看了代码理论上这个扩展暴露出来有两个方法,一个执行加密文件的方法和一个解密文件的方法。但实际上只有一个方法暴露出来,那么还有一个被狡猾的提供者删除了。

当然源码我们都有了也就不计较那么多了。

试着用官方源码编译下然后decode一下发现还是不行。

再仔细研究了一下,发现

 里面有一串很神奇的字符串: 82dsa7dsas32112389uy7aydh8h2h2i412 心想是不是他的加密Key。再翻代码果真是。在https://github.com/eixom/zoeeyguard/blob/master/src/guard.h 文件里面。

原来的是 28dsa7dsas12312389uy7aydh8h1h2i312。改完之后发现还是不行。

果真我还是Too Young Too Simple啊。

程序员心理角度分析下:一般没人会去改代码,基本上都是动动参数而已。是不是还有其他参数改动了?可是其他参数都是数组格式的这可头疼了。

  1. /*  private key */ 
  2. #define PRIVATE_KEY "28dsa7dsas12312389uy7aydh8h1h2i312" 
  3. #define PRIVATE_KEY_LEN sizeof(PRIVATE_KEY) 
  4.  
  5. /* order */ 
  6. static const unsigned char OBFUSCATED_ORDER[] = { 
  7.       13,  6,  5,  7,  1, 15, 14, 20 
  8.     ,  9, 16, 19,  4, 18, 10,  2,  8 
  9.     , 12,  3, 11,  0, 17 
  10. }; 
  11. #define ORDER_SIZE sizeof(OBFUSCATED_ORDER) / sizeof(* OBFUSCATED_ORDER) 
  12.  
  13. /* alphabet for base64 */ 
  14. static const unsigned char OBFUSCATED_ALPHABET[] = { 
  15.       's''4''N''E''k''X''c''u' 
  16.     , 'J''2''U''o''O''w''K''v' 
  17.     , 'h''H''C''/''D''q''l''R' 
  18.     , 'B''r''5''Z''S''Q''6''W' 
  19.     , '3''L''j''8''1''z''0''G' 
  20.     , 'n''e''y''b''I''d''i''P' 
  21.     , 'A''9''7''+''m''V''M''Y' 
  22.     , 'F''g''f''p''a''T''t''x' 
  23. }; 
  24. #define ALPHABET_SIZE 64  

这个时候得请出大杀器了:IDA Pro v6.8,反编译神器。左边是正常版本,右边是jinhou.so。

 

[[172537]]

 

根据数据更改guard.h里面的文件。重新编译下,果真成功解密出来了。

  1. <?php 
  2.  
  3. require_cache(APP_PATH.'/Lib/Action/User/AddonAction.class.php'); 
  4.  
  5. ?>  

事后总结

1、 这次破解没花费多少时间,主要感谢加密方案跟加密代码已经明文告诉我们。

2、 主要的时间是在试探加密参数上,很幸运的是.so文件也没有加壳。

3、 在破解的过程中也了解了PHP加密的缺陷性,所以才有了下一篇文章:通用PHP加密文件还原方法。

责任编辑:庞桂玉 来源: segmentfault
相关推荐

2009-12-09 13:54:42

PHP Zend加密文

2009-11-16 10:49:43

PHP上传文件代码

2013-12-09 09:57:37

2011-03-03 10:14:50

pureftpd

2009-12-10 10:49:21

PHP eval加密

2009-12-09 17:56:27

PHP加密解密

2015-03-26 11:25:10

对称加密加密压缩加密解密解压

2018-05-11 10:22:05

小程序源码分析

2017-02-17 10:29:19

AndroidJava文件加密

2024-08-30 15:03:43

2013-04-23 14:25:28

gnupg文件加密

2024-09-14 07:00:28

SpringBoot代码反编译

2013-11-11 11:12:17

EFS加密

2009-12-04 14:23:33

PHP JSON加密函

2011-06-17 10:11:01

jQueryPHP

2009-12-08 13:18:17

2009-12-07 14:44:27

PHP文件函数

2021-05-08 05:56:15

加密OpenSSL密钥

2021-11-26 21:24:11

Windows 10Windows微软

2021-12-23 09:38:07

微软图像加密
点赞
收藏

51CTO技术栈公众号