12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 355|回复: 0

【原创】PHP混淆/加密系列——we7微擎2.0加密分析走一波

[复制链接]
发表于 2019-8-23 15:24:15 | 显示全部楼层 |阅读模式
全程直播分析,今天使用某模块遇到了就搞一下子,还是要说一句老话,非扩展加密,跟着PHP解释器的执行逻辑走就可以了


  • 乱码=ASCII码大于127的字符
  • 乱码经过某些公开函数加密后可能也会是乱码上样本:site.zip





  • 审计下代码,大概就是利用超全局变量
  • 代码内有多段以 == 结尾的字串,大致可以判断为base64编码后的字串使用自己的办法把乱码字符用常规字符替换下,这里我用了python的 repr 方法,然后乱码字符不是很多,大概手动替换了下
[PHP] 纯文本查看 复制代码3b4d6a5d9d08df5028453d7fb46f8cb6
注:大概有7段是比较短的base64编码后的字串  
文末附近是一段超长base64编码后的字串


代码基本肉眼可读了

$_POST["cca3a5f2"]["9ad4c688"] 超全局变量的数组,审计整篇代码,得到
$_POST["cca3a5f2"]["9ad4c688"]=‘chr’;php内chr是讲ascii码转换成字符
$_POST["cca3a5f2"]["b7d4d6f4"]=‘is_numeric’;php内is_numeric判断是否是整数型
那么
function 9fd3acf4 显而易见就是判断是否是整数型,是就返回对应的ascii字符,不然就直接返回原参数1+参数2
那么就好理解了
arr_p5($_POST["arr_p2"]["arr_p10"], "e");执行后$_POST["arr_p2"]["arr_p10"] = 'base64_decode';

arr_p5($_POST["arr_p2"]["arr_p9"], "65");执行后$_POST["arr_p2"]["arr_p9"] = 'IN_IA';
[PHP] 纯文本查看 复制代码$_POST["arr_p2"]["arr_p11"]=$_POST["arr_p2"]["arr_p10"]('YXJy�Y�Xlfd2Fsaw==');$_POST["arr_p2"]["arr_p12"]=$_POST["arr_p2"]["arr_p10"]('Y3JlYXRlX2Z�1bmN0a�W9�u');$_POST["arr_p2"]["arr_p13"]=$_POST["arr_p2"]["arr_p10"]('�Y2FsbF�91c2Vy�X2Z�1�bm�M=');$_POST["arr_p2"]["arr_p14"]=$_POST["arr_p2"]["arr_p10"]('ZnVuY19nZXRfYXJ�n�cw==');$_POST["arr_p2"]["arr_p15"]=$_POST["arr_p2"]["arr_p10"]('�ZG�VmaW5lZA==');$_POST["arr_p2"]["arr_p16"]=$_POST["arr_p2"]["arr_p10"]('Z3ppbm�ZsYX�Rl');
6个base64_decode字符串赋值给 6个元素,后面的代码就是真正解密密文了,直接上xdebug下断看下  各个元素的值

$_POST["arr_p2"]["arr_p17"]=defined("IN_IA")?create_function('$arr_p10,$this', @base64_decode('�ZXZhbA==').'($arr_p10);')IN_IA();

base64_decode('�ZXZhbA==').'($arr_p10);  测试执行后是 eval($arr_p10),那么
$_POST["arr_p2"]["arr_p17"]=“eval”
——————————————————————————————————————
define("arr_p18", __LINE__);
$_POST["arr_p2"]["arr_p17"]($_POST["arr_p2"]["arr_p16"]($_POST["arr_p2"]["arr_p10"]('base64_str_data')),$_POST["arr_p2"]["arr_p8"]);
根据上图的元素值那么就是

$_POST["arr_p2"]["arr_p8"]=eval(gzinflate(base64_decode('base64_str_data')))
如果没猜错的话,这么简单不是微擎的风格,里面应该还有一层加密,稍等更新
——————————————————————————————————————

来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-24 15:29 , Processed in 0.078125 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表