A-A+

php screw加密与破解

2020年08月03日 文章转载 暂无评论 阅读 260 views 次

一、破解工具之php-screw-brute

1、项目地址

https://github.com/securifybv/php-screw-brute

2、项目介绍

此脚本可以恢复/爆破php screw使用的密钥。PHP Screw使用压缩文件的长度来确定(硬编码)密钥的起始索引。PHP Screw的工作原理是首先使用ZLIB(级别1)压缩PHP文件,然后按位取反,再与密钥进行异或。 因为ZLIB具有固定的头部并且不同文件的起始索引不同,所以可以恢复密钥的一部分, 其余字节可以爆破。 通常,你拥有的文件越多,恢复密钥的速度就越快。 当然,所有文件都必须使用相同的PHP Screw密钥进行加密。 如果你拥有的文件足够多,则可直接恢复密钥而不需要爆破。

下图1是php文件经过php screw加密后的一个样子,通过开头的“PM9SCREW”字符串得知使用了php screw进行加密。

图1

3、使用

下图2是使用方法,解密成功后,会在相同目录下生成以“.plain”为后缀的同名文件。比如待解密的文件是“index.php”,则解密成功后生成“index.php.plain”文件。

图2

写了一个python脚本,用于筛选解密成功的php文件。

  1. #!/usr/bin/python
  2. # -*- coding: UTF-8 -*-
  3.  
  4. import os
  5. import shutil
  6.  
  7. def main():
  8. src = '/root/Download/demo'
  9. dst = src + '_backup'
  10. shutil.copytree(src,dst) #备份
  11.  
  12. for root,dirs,files in os.walk(src):
  13. for name in files:
  14. basename, ext = os.path.splitext(name)
  15. oldname = os.path.join(root,name)
  16. newname = os.path.join(root,basename)
  17. if ext == '.php':
  18. os.remove(oldname) #删除原来的加密的PHP文件
  19. if ext == '.plain':
  20. os.rename(oldname,newname) #重命名解密成功的文件 filename.php.plain => filename.php
  21.  
  22. print('Good job')
  23.  
  24. if __name__ == '__main__':
  25. main()

二、破解工具之screw_decode

1、项目地址

https://github.com/firebroo/screw_decode

2、项目介绍

前提需要有加密之后的文件,和加密的扩展库php_screw.so 打开screwdecode.c找到PM9SCREW,PM9SCREW_LEN和pm9screw_mycryptkey,3个可能被使用者修改,需要用IDA去查找然后替换掉。 pm9screw_mycryptkey是至关重要的,拿不到就解密不了。别的两个可以暴力尝试解决,其实就是读取掉头部n个字节尝试解密。

3、安装和使用

安装:

git clone https://github.com/firebroo/screw_decode.git

make

如果以上出错,就看报错然后google,一个是依赖php-devel,一个是依赖zlibc-devel

使用:

sudo ./decode path

说明: 结果保存在同目录,文件名字为原文件名字后面追加.decode, sudo 权限保证可以有chdir和创建文件权限。

三、IDA获取加密的key

1、通过导图查找

首先找到php_screw.so文件,然后通过IDA分析(幸好之前跟基友要了份IDA)。加密过程是在pm9screw_ext_fopen函数中实现的,所以只需要到这个函数中去找加密部分即可。

图3

找到pm9screw_ext_fopen函数,双击,如图4所示:

图4

然后右边的窗口就会如图5所示:

图5

很明显,我标黄的就是加密密钥了,双击跳转至其指针保存处:

图6

再次双击,跟踪变量,见下图7,打码处就是密钥了。

图7

如下图8,右键,将十六进制的密钥转成十进制的,然后打开screwdecode.c,见下图9,将密钥替换掉,即可使用screw_decode解密。

图8

图9

2、通过伪代码查找

再找到目标函数之后,使用F5,查看伪代码,双击黄标也可以跳转到之前找到的位置。

图10

四、php-screw加密文件

1、项目地址

https://sourceforge.net/projects/php-screw/  或者

https://github.com/Luavis/php-screw

2、使用

(1)我是在kali-rolling上测试的,提示没有phpize这个命令。

apt-get install php-dev

(2)然后解压

tar –zxvf php_screw-1.5.tar.gz

图9

(3) 编译PHP扩展的工具,主要是根据系统信息生成对应的configure文件

Phpize

./configure

图10

图11

(4)编辑my_screw.h修改pm9screw_mycryptkey密钥的值

如图12是默认值。

图12

(5)此外我们可以编辑php_screw.h修改PM9SCREW 和 PM9SCREW_LEN的值,注意PM9SCREW_LEN的值要小于等于PM9SCREW的长度。如图13是其默认值。

图13

(5)进行编译

如图14编译时出错了,在php_screw的目录下以下命令执行即可解决,最后编译成功。

sed -i "s/CG(extended_info) = 1;/CG(compiler_options) |= ZEND_COMPILE_EXTENDED_INFO;/g" php_screw.c

图14

(6)将编译好的php_screw.so拷贝到php扩展库目录。

通过phpinfo()页面查找extension-dir关键字

图16

将编译好的php_screw.so拷贝到php扩展目录。

cp modules/php_screw.so /usr/lib/php/20151012/php_screw.so

(7)编辑php.ini添加以下一行代码

extension=php_screw.so

(8)重启http服务器

Service apache2 restart

(9)编译加密工具

cd tools

make

编译完成后生成screw可执行文件。

图17

(10)尝试加密一个php文件

我们写一个phpinfo.php文件内容是<?php phpinfo();?>

然后执行./screw phpinfo.php加密文件,见下图18。

图18

(11)将加密好的文件拷贝到web目录

cp phpinfo.php /var/www/html/phpinfo.php

图19

(12)批量加密php文件

find /data/php/source -name “*.php” -print|xargs -n1 screw //加密所有的.php文件

五、参考:

php_screw的加密和解密探究(二)解密算法与Python实现:

https://www.skactor.tk/2018/03/26/php-screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%BA%8C%EF%BC%89%E8%A7%A3%E5%AF%86%E7%AE%97%E6%B3%95%E4%B8%8Epython%E5%AE%9E%E7%8E%B0/

php_screw的加密和解密探究(一)编译Screw扩展并测试:

https://www.skactor.tk/2018/03/25/php_screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%B8%80%EF%BC%89%E7%BC%96%E8%AF%91Screw%E6%89%A9%E5%B1%95%E5%B9%B6%E6%B5%8B%E8%AF%95/

用 phpize 编译共享 PECL 扩展库:

https://www.php.net/manual/zh/install.pecl.phpize.php

转载请注明出处。

 

原文连接:https://www.shuzhiduo.com/A/l1dyoOj0Je/

标签:

给我留言