前言

两次比赛,两个题目,两种方式,两个程序。

一切PHP的代码终究是要到Zend Engine上走一走的,因此一切PHP的源码加密都是可以被解密的。(不包括OpCode混淆-VMP)

代码混淆

比较恶心人的一种处理方式,也不太算是加密。

单独拿出来是为了说明代码混淆和代码加密是两种方式。

本质是是对变量进行乱七八糟的修改,多用动态函数处理。处理应该没什么难度,就是比较复杂,浪费时间精力。

混淆方式是按照套路随机生成相关动态函数,替换明文函数,然后批量修改变量名。

该法常与代码加密联合使用。

代码加密解密

用PHP代码进行PHP代码的加密,套了层壳。大多数代码加密都进行了一定的代码混淆,不同的加密工具也有不同的混淆。

  • 壳混淆
  • 代码混淆
  • 壳和代码都分别混淆

常见加密工具

  • phpjiami

加密

源码 -> 加密处理(压缩,替换,BASE64,转义)-> 安全处理(验证文件 MD5 值,限制 IP、限域名、限时间、防破解、防命令行调试)-> 加密程序成品,再简单的说:密文源码 + 自解密外壳 == 密文代码

加密方式

  1. 独立加密程序统一对明文代码进行加密处理

解密

加密也好,混淆也罢,终归是要变成Zend Engine能处理的源码,该“加密”方法的的根本是通过把代码解密并通过eval等函数执行代码。

因此,只要用HOOK EVAL大法,将相关可执行代码的函数Hook住就能拿到其中需要执行的数据,也就是我们想要得到的源码。

调用eval等代码执行的函数,最终会调用PHP内核zend_compile_string函数。

通过PHP本身提供的一个HOOK机制,写个插件轻松搞定。

// 声明一个临时的 compile_string 函数
static zend_op_array *(*orig_compile_string)(zval *source_string, char *filename TSRMLS_DC);
// 在 PHP_MINIT_FUNCTION 中替换
orig_compile_string = zend_compile_string;
zend_compile_string = phpjiami_decode_compile_string;
// 在 PHP_MSHUTDOWN_FUNCTION 中恢复
zend_compile_string = orig_compile_string;
// 提取 compile_string 中的代码并保存
static zend_op_array *phpjiami_decode_compile_string(zval *source_string, char *filename TSRMLS_DC)
{
    int c, len, yes;
    char *content;
    FILE *fp = NULL;
    char fn[512];
    if (Z_TYPE_P(source_string) == IS_STRING) {
        len  = Z_STRLEN_P(source_string);
        content = estrndup(Z_STRVAL_P(source_string), len);
        if (len > strlen(content))
            for (c=0; c<len; c++)
                if (content[c] == 0)
                    content[c] = '?';
        sprintf(fn, "/tmp/%s.php", zend_get_executed_filename(TSRMLS_C));
        fp = fopen(fn,"a+");
        if (fp!=NULL)
            fprintf(fp, "<?php\n%s\n?>\n\n", content);
        fclose(fp);
    }
    return orig_compile_string(source_string, filename TSRMLS_CC);
}

案例

Challenge: PWNHUB 公开赛 / 傻 fufu 的工作日 Writeup

扩展加密解密

将文本源码进行加密存储,在使用的时候通过扩展实现解密。

常见加密工具

  • pm9screw
  • pm9screw_plus

加密

源码 -> 加密处理(对称/非对称加密、自定义加密)-> 加密成品:密文代码

加密方式

  1. 独立加密程序统一对明文代码进行加密处理
  2. 扩展存在加密解密功能,执行前判断源码是否经过加密处理,如果没有就进行加密

解密

还是那句话,一切的源码都要到Zend Engine上执行,密文也得解密了再执行。那么在最终的执行之前,提取出来就可以了。

因此Hook住zend_compile_file函数就可以了。

但是其中有一个坑点,PHP的扩展是“栈”加载的,也就是先加载的先Hook,后执行。我们需要获取到解密之后的内容,所以需要让“加密”插件先执行,也就是我们的解密插件要先加载。

要实现这个操作,只需要在INI配置文件中先写我们的插件。(不保证)

extension="decode.so"
extension="encrypt.so"

这个方式需要能够加载执行encrypt.so,我觉得这个还是可以实现的。通过一定手段获取到encrypt.so和密文源码以及服务器,中间件相关信息(版本等)。

利用Docker运行一个基本相同的环境应该是可以做到的。

// 声明一个临时的 compile_file 函数
static zend_op_array *(*orig_compile_file)(zend_file_handle *file_handle, int type TSRMLS_DC);
// 在 PHP_MINIT_FUNCTION 中替换
orig_compile_file = zend_compile_file;
zend_compile_file = phpjiami_decode_compile_file;
// 在 PHP_MSHUTDOWN_FUNCTION 中恢复
zend_compile_file = orig_compile_file;
// 提取 compile_file 中的代码并保存
static zend_op_array *phpjiami_decode_compile_file(zend_file_handle *file_handle, int type TSRMLS_DC){
    char *buf;
    size_t size;
    if (zend_stream_fixup(file_handle, &buf, &size TSRMLS_CC) == SUCCESS) {
        FILE *ff = NULL;
        int i=0;
        php_printf("code size :\n%d\n\nsource code :\n%s\n\n", size, buf);
        ff = fopen("/tmp/decode.php","a+");
        if (ff!=NULL)
            for(i = 0; i <= size; i++)
                fprintf(ff, "%c", buf[i]);
        fclose(ff);
    }
    return orig_compile_file(file_handle,type TSRMLS_DC);
}

案例

Challenge: SCTF2018 BabySyc - Simple PHP Web Writeup - L3m0n

  • phpinfo

  • login.php

OpCode混淆

一种是比如Swoole Compile的方式,部分脱离了zend虚拟机,对opcode做了混淆,这就比较像是vmp的一种方式。

加密方式

  1. 独立加密程序统一对明文代码进行加密处理(猜测)

解密

我不会啊!emmmmmmm

参考

  1. phpjiami 数种解密方法 - PHITHON
  2. Decrypt php VoiceStar encryption extension - 小鹿师傅
  3. PHPDecode 在线解密工具 - Medici.Yan
  4. Decoding a User Space Encoded PHP Script - Stefan Esser
  5. PHP代码加密技术 郭新华 PHPCON2018 - swoole郭新华

点击收藏 | 0 关注 | 1
登录 后跟帖