【原创】PHP混淆/加密系列——we7微擎2.0加密分析走一波

敢想敢做敢拼

全程直播分析，今天使用某模块遇到了就搞一下子，还是要说一句老话，非扩展加密，跟着PHP解释器的执行逻辑走就可以了

• 乱码=ASCII码大于127的字符
  
• 乱码经过某些公开函数加密后可能也会是乱码上样本：site.zip
  
  

• 审计下代码，大概就是利用超全局变量
  
• 代码内有多段以 == 结尾的字串，大致可以判断为base64编码后的字串使用自己的办法把乱码字符用常规字符替换下，这里我用了python的 repr 方法，然后乱码字符不是很多，大概手动替换了下
  

[PHP] 纯文本查看 复制代码3b4d6a5d9d08df5028453d7fb46f8cb6
注：大概有7段是比较短的base64编码后的字串  文末附近是一段超长base64编码后的字串


代码基本肉眼可读了

$_POST["cca3a5f2"]["9ad4c688"] 超全局变量的数组，审计整篇代码，得到
$_POST["cca3a5f2"]["9ad4c688"]=‘chr’；php内chr是讲ascii码转换成字符
$_POST["cca3a5f2"]["b7d4d6f4"]=‘is_numeric’；php内is_numeric判断是否是整数型
那么function 9fd3acf4 显而易见就是判断是否是整数型，是就返回对应的ascii字符，不然就直接返回原参数1+参数2
那么就好理解了
arr_p5($_POST["arr_p2"]["arr_p10"], "e");执行后$_POST["arr_p2"]["arr_p10"] = 'base64_decode';

arr_p5($_POST["arr_p2"]["arr_p9"], "65");执行后$_POST["arr_p2"]["arr_p9"] = 'IN_IA';
[PHP] 纯文本查看 复制代码$_POST["arr_p2"]["arr_p11"]=$_POST["arr_p2"]["arr_p10"]('YXJy�Y�Xlfd2Fsaw==');$_POST["arr_p2"]["arr_p12"]=$_POST["arr_p2"]["arr_p10"]('Y3JlYXRlX2Z�1bmN0a�W9�u');$_POST["arr_p2"]["arr_p13"]=$_POST["arr_p2"]["arr_p10"]('�Y2FsbF�91c2Vy�X2Z�1�bm�M=');$_POST["arr_p2"]["arr_p14"]=$_POST["arr_p2"]["arr_p10"]('ZnVuY19nZXRfYXJ�n�cw==');$_POST["arr_p2"]["arr_p15"]=$_POST["arr_p2"]["arr_p10"]('�ZG�VmaW5lZA==');$_POST["arr_p2"]["arr_p16"]=$_POST["arr_p2"]["arr_p10"]('Z3ppbm�ZsYX�Rl');
6个base64_decode字符串赋值给 6个元素，后面的代码就是真正解密密文了，直接上xdebug下断看下  各个元素的值

$_POST["arr_p2"]["arr_p17"]=defined("IN_IA")?create_function('$arr_p10,$this', @base64_decode('�ZXZhbA==').'($arr_p10);')IN_IA();

base64_decode('�ZXZhbA==').'($arr_p10);  测试执行后是 eval($arr_p10),那么
$_POST["arr_p2"]["arr_p17"]=“eval”
——————————————————————————————————————
define("arr_p18", __LINE__);
$_POST["arr_p2"]["arr_p17"]($_POST["arr_p2"]["arr_p16"]($_POST["arr_p2"]["arr_p10"]('base64_str_data')),$_POST["arr_p2"]["arr_p8"]);
根据上图的元素值那么就是

$_POST["arr_p2"]["arr_p8"]=eval（gzinflate（base64_decode（'base64_str_data'）））
如果没猜错的话，这么简单不是微擎的风格，里面应该还有一层加密，稍等更新
——————————————————————————————————————

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！