2. 程式人生 > 程式設計 >PHP $O00OO0=urldecode & eval 解密,記一次商業原始碼的去後門

PHP $O00OO0=urldecode & eval 解密,記一次商業原始碼的去後門

阿新 發佈:2020-09-14

程式碼如下:

$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("JE8wTzAwMD0iU1p6QXBDSHR4UlVHd2dRdk5CVHlvUHFKaklPbWVpcmZGY2RsS3VuYmhXWVZYYUVrTE1Ec2dHRE1XZXNkbmJ2eW1FUkNJT0ZOVFpydHV6S0JQZmtvSHBRWGx3U2NKWXhqaUxVVmhBcWFacTltTHNNbEdZSVRjTk1WaTFJSHZYR0h2WGFTdlZqSUYxYkhpMEhVYkh6U2lnTXd6WG5OaXk0ZkttV1h4MkpDemVib3YwamdqVmpnWU5RRmJqdFlianRvRlZISWJnUVFLbVQvWkU9PSI7ZXZhbCgnPz4nLiRPMDBPME8oJE8wT08wMCgkT08wTzAwKCRPME8wMDAsJE9PMDAwMCoyKSwkT08wTzAwKCRPME8wMDAsJE9PMDAwMCwkT08wMDAwKSwkT08wTzAwKCRPME8wMDAsMCwkT08wMDAwKSkpKTs="));

借用 javascript eval 解密思路 將 eval 替換成 echo,將 echo 得到的內容覆蓋掉 eval 的內容

$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};$O0O000="SZzApCHtxRUGwgQvNBTyoPqJjIOmeirfFcdlKunbhWYVXaEkLMDsgGDMWesdnbvymERCIOFNTZrtuzKBPfkoHpQXlwScJYxjiLUVhAqaZq9mLsMlGYITcNMVi1IHvXGHvXaSvVjIF1bHi0HUbHzSigMwzXnNiy4fKmWXx2JCzebov0jgjVjgYNQFbjtYbjtoFVHIbgQQKmT/ZE==";eval('?>'.$O00O0O($O0OO00($OO0O00($O0O000,$OO0000*2),$OO0O00($O0O000,$OO0000,$OO0000),$OO0000))));

繼續替換 eval 內容,得帶如下程式碼,然後在瀏覽器中檢視原始碼即可

<?php
$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};
?><?php
echo $_SERVER['REMOTE_ADDR'] ."\r\n";
echo $_SERVER['SERVER_NAME'];
?>

程式碼已經被解出來了

這份商業原始碼還留有兩個後門,都存在於加密檔案中
一個的思路是每天首次訪問網站時,向授權伺服器發請求,檢查網站是否在授權列表,如果不存在則刪除某個加密檔案 (後臺登陸檔案)

另一個思路是後臺登陸檔案繼承自 Think 基類,沒有登陸許可權的校驗,有一個方法,可以列出所有管理使用者,可以更改任意使用者的密碼.

沒有用擴充套件的加密都是偽加密!!

我們小編補充:最後通過原始碼方式檢視就可以獲取程式碼了

$O00OO0=urldecode 解密

微盾類似解密,一般都以

<?php $O00OO0=urldecode("%6E1%7A%62%2……; ?>

形式出現,記錄下步驟:

示例:

$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("JE8wTzAwMD0iV0FLQ1JIbHdPdnh0cmRHVUxFbmFOSlBlamZGUXpaTUJjc29nSXVrYnBxWFR5bVZoU2lEWVpKUXlvaURPZEZXblBZdFV2U2xmVEJleEt6a0dxVmhFSHdnTVhDdUFyUmFqTE5tcGJjSXNlSTlPZmlKVHlNdVR5TkROUXlvem8wbVVaTEJyVnlCWWVqMGN4Wm1xWGNEN0JpTTlYTmtxSExYQ1hObUxZeVg3WHlvNFF5b3pVUzlqbWt3Y3h0azRYRDByZDJtNGZhR2dRam45SUdnVHlLOCtYSjBRIjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));

<?php
$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");//n1zb/ma5vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j
echo '第一步生成:',$O00OO0;
echo '<br /><br />********************************************************<br /><br />';
 
$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};
$O0OO00= $O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};
$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0 {3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};
$OO0000=$O00OO0{7}.$O00OO0{13};
$O00O0O.=$O00OO0{22}.$O00OO0 {36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};
echo '第二步生成:',$O00O0O;
echo '<br /><br />********************************************************<br /><br />';
 
//上面解出來 $O00O0O=base64_decode;
//即然 $O00O0O=base64_decode那麼把下面的程式碼改一下,eval是用來執行php程式碼,這裡不需要執行,只需要解出php程式碼即可,那麼去掉eavl 並把$O00O0O換成上面解出來的值
//eval ($O00O0O ("JE8wTzAwMD0iV0FLQ1JIbHdPdnh0cmRHVUxFbmFOSlBlamZGUXpaTUJjc29nSXVrYnBxWFR5bVZoU2lEWVpKUXlvaURPZEZXbl BZdFV2U2xmVEJleEt6a0dxVmhFSHdnTVhDdUFyUmFqTE5tcGJjSXNlSTlPZmlKVHlNdVR5TkROUXlvem8wbVVaTEJyVnlCWWVqMG N4Wm1xWGNEN0JpTTlYTmtxSExYQ1hObUxZeVg3WHlvNFF5b3pVUzlqbWt3Y3h0azRYRDByZDJtNGZhR2dRam45SUdnVHlLOCtYSj BRIjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT0 8wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));
//修改後變成
echo '第三步生成:';
echo (base64_decode("JE8wTzAwMD0iV0FLQ1JIbHdPdnh0cmRHVUxFbmFOSlBlamZGUXpaTUJjc29nSXVrYnBxWFR5bVZoU2lEWVpKUXlvaURPZEZXbl BZdFV2U2xmVEJleEt6a0dxVmhFSHdnTVhDdUFyUmFqTE5tcGJjSXNlSTlPZmlKVHlNdVR5TkROUXlvem8wbVVaTEJyVnlCWWVqMG N4Wm1xWGNEN0JpTTlYTmtxSExYQ1hObUxZeVg3WHlvNFF5b3pVUzlqbWt3Y3h0azRYRDByZDJtNGZhR2dRam45SUdnVHlLOCtYSj BRIjtldmFsKCc/PicuJE8wME8wTygkTzBPTzAwKCRPTzBPMDAoJE8wTzAwMCwkT08wMDAwKjIpLCRPTzBPMDAoJE8wTzAwMCwkT0 8wMDAwLCRPTzAwMDApLCRPTzBPMDAoJE8wTzAwMCwwLCRPTzAwMDApKSkpOw=="));
echo '<br /><br />********************************************************<br /><br />';
//上頁那步輸出來程式碼為:
/*
$O0O000="WAKCRHlwOvxtrdGULEnaNJPejfFQzZMBcsogIukbpqXTymVhSiDYZJQyoiDOdFWnPYtUvSlfTBexKzkGqVhEHwgMXCuArRajLNmpbcIseI9OfiJTyMuTyNDNQyozo0mUZLBrVyBYej0cxZmqXcD7BiM9XNkqHLXCXNmLYyX7Xyo4QyozUS9jmkwcxtk4XD0rd2m4faGgQjn9IGgTyK8+XJ0Q";
eval('?>'.$O00O0O($O0OO00($OO0O00($O0O000,$OO0000))));
*/
//同樣,不需要eval,改成echo
$O0O000="WAKCRHlwOvxtrdGULEnaNJPejfFQzZMBcsogIukbpqXTymVhSiDYZJQyoiDOdFWnPYtUvSlfTBexKzkGqVhEHwgMXCuArRajLNmpbcIseI9OfiJTyMuTyNDNQyozo0mUZLBrVyBYej0cxZmqXcD7BiM9XNkqHLXCXNmLYyX7Xyo4QyozUS9jmkwcxtk4XD0rd2m4faGgQjn9IGgTyK8+XJ0Q";
echo '最終程式碼是:(這是我用htmlspecialchars函式把標籤轉換了)'.htmlspecialchars('?>'.$O00O0O($O0OO00($OO0O00($O0O000,$OO0000))));
 
?>

上面兩種方法小編測試了第一種方法,簡單粗暴。

相關推薦

PHP $O00OO0=urldecode &amp; eval 解密,商業原始碼後門

程式碼如下: $O00OO0=urldecode(\"%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A\");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0

解密wireshark抓取的冰蠍通訊流量

、關於冰蠍  1.1 簡單介紹   冰蠍是款基於Java開發的動態加密通訊流量的新型Webshell客戶端。老牌 Webshell 管理神器——中國菜刀的攻擊流量特徵明顯,容易被各類安全裝置檢測,實際場景中越來越少

【NAS】 Chevereto 升級翻車事故 &amp; 關於 Synology 的代理配置

之前一直被群暉科學瀏覽的問題所困擾,也因此不能升級 Chevereto 一個紅色⚠️看著很難受,今天終於在網上找到了一個暫且可行的代理方案;配置是成功了但是還是未能完成升級,最後只好手動進行了一次升級結果最後還是

win10 mysql8.0.22登入出現ERROR 1045 (28000): Access denied for user &amp;#039;root&amp;#039;@&amp;#039;localhost

新裝的新版mysql 8.0.22居然登入不進去. 首先放上用到的命令: net stop mysql mysqld --defaults-file=\"D:\\ProgrammingSoftware\\mysql-8.0.22-winx64\\my.ini\" --console --skip-grant-tablesnet start mysql

使用 Arthas 熱更新線上程式碼(誤)

起因 在一次迭代中,出現了一個低階錯誤,if 語句中的判斷邏輯出現了錯誤,剛好這個功能場景在開發和測試過程中很少觸發,使用的使用者也不多,不過的確影響到了少部分使用者,所以還是需要進行修復。

OOM問題排查過程

這周生產環境出了久違的java.lang.OutOfMemoryError: Java heap space,花了些時間找了下原因,記錄分享一下 ?

Apple Watch App 開發經歷

前言: 隨著現在 Apple 生態圈的發展,越來越多的 App 會把自己的簡化版從 iOS 遷移至 WatchOS(支付寶、微信、手Q、頭條、QQ音樂、網易雲音樂等等,都有Watch版App)。

ELK+FileBeats搭建

獲取ElasticSearch+LogStash+Kibana+FileBeats 關於elk搭建的全部產品都可以從elastic的官方網站獲取最新版本elastic官網

Spring @Transactional失效的排查過程

問題 壓力測試時發現生成了相同的序號,根據日誌分析發現select ... for update沒有鎖住某一行的資料,從而導致序號重複

"記憶體洩露"排查過程

問題的發現 今天發現線上一個應用記憶體佔用非常高,但它的cpu使用率卻很低

JVM指令重排引起的執行緒問題

問題 多個執行緒同時讀一個HashMap,有條執行緒會定時獲取最新的資料,構建新的HashMap並將舊的引用指向新的HashMap,這是種類似CopyOnWrite(寫時複製)的寫法,主要程式碼如下,在不要求資料實時更新(容忍資料不是最新

golang程式CPU高的排查過程

前言 事情的起因是某天CTO突然和我說,生產環境的程式CPU有點高,關鍵是現在也沒什麼負載,同樣的程式碼在開發環境上CPU就低的多了。

基於Docker的效能測試

一句話結論 對於跑在單核CPU上的運算類API,根據業務需求(最大響應時間)來除錯找到最大執行緒數,然後依據執行緒數除錯出heap大小(主要看年老代的回收次數)

資料庫冷熱分離

前言 最近在家小公司實習,文章也沒怎麼更新。前兩天參與了後臺系統資料庫冷熱分離(一期)的工作,雖然只是參與了定時任務和介面的開發改造,但還是想了解一下它的前因後果,畢竟作為隻鹹魚,就要有翻身之後再作

Rabbit Mq開發過程

背景 專案第一引入spring boot 封裝的rabbitMQ框架,用於接收庫存狀態的訊息,用於實時更新。

CentOS7-MySQL排坑歷程

、報錯及起因 今天在 CentOS7 中安裝了 mysql5.7,然後為了測試資料庫環境是否配置成功,便寫了個基於 mybatis+Spring 的 java web 程式連線操作 mysql 資料庫,於是就一些發生了令人感到很煩的報錯和故事:

MySQL Slave庫恢復實戰記錄

狀況描述: 今天登入一個MySQL資料庫slave節點主機發現/var/lib/mysql下存放大量的mysql-relay-bin檔案,最早的檔案建立日期甚至是2018年,我記得在slave庫同步完master的日誌操作記錄後,會刪除這些檔案(預設設定

Mongodb中admin資料庫導致的事故

前言 MongoDB副本集預設會建立local、admin資料庫,local資料庫主要儲存副本集的元資料,admin資料庫則主要儲存MongoDB的使用者、角色等資訊。

pyinstaller打包pygame專案為exe的過程(帶圖片)

段簡單的pygame程式碼,只在pygame介面背景繪製了一個背景圖片 # -*- coding=utf-8 -*-

react前端專案打包優化的方法

前文 之前年多前接手的一個react專案,前段時間因為做業務中臺專案,對公司現有的應用專案做中臺化改造,這期間將專案部署到uat環境,測試期間,測試小妹妹和產品大叔都吐槽進入uat專案的時候要load很久,白屏時間