#先說環境:
Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-52-generic x86_64) PHP 5.5.9-1ubuntu4.19 (cli)
實戰過程
手邊有一個加密過的項目和一個php擴充的動態連結函式庫(jinhou.so)。
PHP程式碼類似如下的樣子:
<?php /* xxxx技术有限公司版权所有: 2016-09-08 08:18:00 */ jhgo('uGpqefbDEBkqp4preQ2UaAp3RAUeJAZ5s4aERAQMkxbJTgEovHnQw6WxsA99sAhSacJCLGxZL4Q4u6zFyGveuDUoemktHGkMaB5D'); ?>
根據上面分析到的已知條件有:
1.加密方式類似 eval 的加密方式。
2.jhgo 包含執行程式碼跟解密程式碼。
3.jinhou.so 裡麵包含 jhgo 函數。
首先非常粗糙的用 VIM 打開 jinhou.so 看看有沒有什麼關鍵的資訊。
很不幸,明文寫著解決方案的來源。 https://github.com/eixom/zoeeyguard
看了程式碼理論上這個擴充功能暴露出來有兩個方法,一個執行加密檔案的方法和一個解密檔案的方法。但實際上只有一個方法暴露出來,那麼還有一個被狡猾的提供者刪除了。
當然原始碼我們都有了也就不計較那麼多了。
試著用官方原始碼編譯下然後decode一下發現還是不行。
再仔細研究了一下,發現
裡面有一串很神奇的字串: 82dsa7dsas32112389uy7aydh8h2h2i412 心想是不是他的加密Key。再翻代碼果實真是。在 https://github.com/eixom/zoeeyguard/blob/master/src/guard.h 檔案裡面。
原來的是 28dsa7dsas12312389uy7aydh8h1h2i312。改完之後發現還是不行。
果真我還是Too Young Too Simple啊。
程式設計師心理角度分析下:一般沒人會去改程式碼,基本上都是動動參數而已。 是不是還有其他參數改動了?可是其他參數都是數組格式的這可頭痛了。
/* private key */
#define PRIVATE_KEY "28dsa7dsas12312389uy7aydh8h1h2i312"
#define PRIVATE_KEY_LEN sizeof(PRIVATE_KEY)
/* order */
static const unsigned char OBFUSCATED_ORDER[] = {
13, 6, 5, 7, 1, 15, 14, 20
, 9, 16, 19, 4, 18, 10, 2, 8
, 12, 3, 11, 0, 17
};
#define ORDER_SIZE sizeof(OBFUSCATED_ORDER) / sizeof(* OBFUSCATED_ORDER)
/* alphabet for base64 */
static const unsigned char OBFUSCATED_ALPHABET[] = {
's', '4', 'N', 'E', 'k', 'X', 'c', 'u'
, 'J', '2', 'U', 'o', 'O', 'w', 'K', 'v'
, 'h', 'H', 'C', '/', 'D', 'q', 'l', 'R'
, 'B', 'r', '5', 'Z', 'S', 'Q', '6', 'W'
, '3', 'L', 'j', '8', '1', 'z', '0', 'G'
, 'n', 'e', 'y', 'b', 'I', 'd', 'i', 'P'
, 'A', '9', '7', '+', 'm', 'V', 'M', 'Y'
, 'F', 'g', 'f', 'p', 'a', 'T', 't', 'x'
};
#define ALPHABET_SIZE 64這時候得請出大殺器了:IDA Pro v6.8,反編譯神器。左邊是正常版本,右邊是jinhou.so。
根據資料更改guard.h裡面的檔案。重新編譯下,果真成功解密出來了。
<?php require_cache(APP_PATH.'/Lib/Action/User/AddonAction.class.php'); ?>
事後總結
1、這次破解沒花費多少時間,主要感謝加密方案跟加密代碼已經明文告訴我們。
2、主要的時間是在試探加密參數上,很幸運的是.so檔也沒有加殼。
3、在破解的過程中也了解了PHP加密的缺陷性。
【推薦學習:PHP影片教學】
