从网上下载了个php版本的小游戏站的源码,一直都没有时间看,今天闲着没事看了下各个文件夹的内容,有一个文件引起了小胡的注意,文件名为php.php,打开之后发现了是加密过后的php文件,于是试着找了下相关的解密。按照eval(gzinflate(base64_decode的解密方法,发现这是一个PHP的木马shell哦,还有解密之后看到了登陆的密码。
于是打开phpstudy,进入这个php的木马,很简单的功能,很简洁的界面。
前两天收集了php文件以 $OOO0O0O00=__FILE__;$OOO000000=urldecode 开始这类的php文件解密 ,这次eval(gzinflate(base64_decode解密方法如下:
首先,创建一个1.PHP文件,写入以下下代码,将eval(gzinflate(base64_decode( 至))); 之间的代码复制到下面的加密文本区里,
<?
$str=gzinflate(base64_decode(加密的文本));
while (preg_match("/base64_decode('.*?')/s",$str)){
if (preg_match("/eval(gzinflate(base64_decode('(.*?)')));/s",$str,$reg)){
$s=gzinflate(base64_decode($reg[1]));
$str=str_replace("eval(gzinflate(base64_decode('$reg[1]')));",$s,$str);
}
elseif (preg_match("/eval(gzinflate(str_rot13(base64_decode('([^']*)'))));/",$str,$reg)){
$s=gzinflate(str_rot13(base64_decode($reg[1])));
$str=str_replace("eval(gzinflate(str_rot13(base64_decode('$reg[1]'))));",$s,$str);
}
else break;
$str=str_replace('<? ?>','',$str);
}
?>
<textarea cols="80" rows="20" name="mmc_content"><?php echo $str;?></textarea>
保存后上传到服务器,访问1.php文件,然后就是解密后的代码了!
觉得有用的话,收藏下吧!