eval(gzinflate(base64_decode( php代码解密方法

已于 2022-04-28 14:58:18 修改
阅读量3k 收藏 2
点赞数 1
分类专栏: php笔记 文章标签: php web安全
于 2022-04-27 18:55:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jqqjj/article/details/124457713
版权
本文探讨了如何应对网站遭遇的PHP挂马攻击,重点介绍了如何通过循环解密技术反解eval(gzinflate(base64_decode()))类型的加密代码,提供了一个自定义的解密函数,并分享了防止恶意挂马的几点建议,如权限控制和代码修复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天网站被人入侵了,一查被上传的php文件内容,发现有 eval(gzinflate(base64_decode(‘XXXXXX’)));此类代码,自己就想查一下代码到底执行了哪些操作。

首先去掉eval()函数,echo打印一下原始代码,结果发现还是类似这样的代码,原来这玩意不简单呀。

那么这些加密是怎么做到的。其实也没什么的,就是循环N次使用gzinflate压缩代码而已,我们需要通过多次循环把代码反解出来即可,由于人工操作循环的效率太差,于是写个函数处理吧。

#解密函数
function decode($str)
{
    $maxTimes = 1000; //最大循环解密次数
    $matches = [];
    for ($i = 0; $i < $maxTimes; $i++) {
        $arr = preg_split('/\r\n|\r|\n/', $str);
        $match = false;
        foreach ($arr as $s) {
            if (preg_match('/eval\((gzinflate\(base64_decode\([\'\"]([\w\/=+]+)[\'\"]\)\))\)/', $s, $matches)) {
                ob_start();
                eval('echo '.$matches[1].';');
                $str = ob_get_clean();
                $match = true;
                break;
            }
        }
        if (!$match) {
            break;
        }
    }
    return $str;
}

#使用方法(xxx.php 代表挂马文件)
$string = file_get_contents("xxx.php");
echo decode($string);

总结:防止被别人挂马,尽量少给php权限,主要有以下几点。
1、php-fpm进程不要以root用户启动,创建一个无任何权限的用户启动;
2、项目代码目录的权限尽量不给php进程用户;
3、mysql数据库不要空密码;

当然,能找到漏洞的代码修复就更好了。

关于PHP,eval、gzinflate、base64_decode函数相关的挂马代码反解就是这样了。发现网上的其他转载的代码解密并不适用,或者执行有问题,于是自己就重写了这个解密函数。

Cyberchef实战之-Webshell绕过还原揭秘之-base64编码和压缩编码
村中少年的专栏
04-29 1487
介绍解析webshell常见的绕过手段,通过解析多层base64,压缩绕过的手段,扫清安全分析人员在日常的网络安全运营,护网,HVV,重保的过程中的障碍
eval解密加密
08-26
eval解密加密 负责对javaScript的eval的加密和解密
php解密 eval( base64_decode,PHPeval(gzinflate(base64_decode加密解密
weixin_39942992的博客
03-10 2218
从网上下载了个php版本的小游戏站的源码,一直都没有时间看,今天闲着没事看了下各个文件夹的内容,有一个文件引起了小胡的注意,文件名为php.php,打开之后发现了是加密过后的php文件,于是试着找了下相关的解密。按照eval(gzinflate(base64_decode解密方法,发现这是一个PHP的木马shell哦,还有解密之后看到了登陆的密码。于是打开phpstudy,进入这个php的木马,...
php解密 eval( base64_decode,base解密_php base64_decode解密
weixin_39777967的博客
03-10 2825
摘要 腾兴网为您分享:php base64_decode解密,银行帮,悟空单车,伪装定位,微商助手等软件知识,以及迷你盒子,固态硬盘优化软件,文华财经随身行,图片剪切工具,羊毛省钱,cygwin,极简名片,swf转avi,订货易,中国移动办公系统,发财猫,大地魂酒,比赛平台,锤锤小矮人,声之形等软件it资讯,欢迎关注腾兴网。eval base64_decode解密方法,在修改程序代码时,往往会碰...
eval(gzinflate(base64_decode N层,自动解密
weixin_34121304的博客
02-28 787
<?php header("Content-type: text/html; charset=utf-8"); $decode = 'DZdFEsRWEkT3vojt0EJMMeCQWsxMmwkxq8V0+ukb1K+f+TLrn//++5+5mf/4ozzT4a/6badqSPfyryzdSgL7X1Hm36L8608h6SRu80Te906gETRM5vErlgV8fjtq...
eval(gzinflate(base64_decode解密方法
程序员无为的博客
10-28 5637
今天群里一位朋友发了一个php的马子,经过了gzinflatebase64_decode加密,求解密,这种加密方法我以前也见过,只用把eval改为echo即可实现解密,但是情况并不是我想象的那么简单,输出的依然是乱码,网上找了一下终于找到了解决之道,分享给大家。 PHP目前在网络中被用的越来越多,加密解密的话题也一直没有停息过。下面简单介绍一下base64_decode+gzinflate压缩编
php批量解密hp在线,gzinflate base64_decode 在线解密
weixin_29146313的博客
04-06 1692
PHP gzinflate base64_decode 加密代码格式: PHP文件包含字符串 eval(gzinflate(base64_decode PHP gzinflate base64_decode 在线解密 例如我需要解密一个类似如下内容的PHP加密代码eval(gzinflate(base64_decode(fVRtb9s2EP7sAfsPF0MopUSV5LVNh9hKU3RuV...
PHP base64+gzinflate压缩编码和解码代码
10-30
另外,加密后的PHP文件头部的特殊字符串<?eval(gzinflate(base64_decode(,这是一个明显的特征,能够指示出文件被特定的方式加密过,因此在真正的加密实践中,我们往往需要避免使用这样明显的标记。 除了加密技术...
怎样给PHP代码加密?PHP二进制加密与解密的解决办法
12-19
$encode = '<?php' . "\n" . "eval(gzinflate(base64_decode('" . $encode . "')));\n\n" . '?>'; return file_put_contents($filename, $encode); } return false; } // 调用函数 $filename = 'dam.php'; ...
php gzinflate base64_decode 解密
10-28
php gzinflate base64_decode 解密 密码:caonima
eval 加密和解密
03-16
NULL 博文链接:https://jickcai.iteye.com/blog/400994
php eval 加密文件
03-20
php eval 加密文件,请高手解密
php eval 在线解密,eval(gzinflate(base64_decode解密方法 | CN-SEC 中文网
weixin_35878683的博客
04-04 2652
今天群里一位朋友发了一个php的马子,经过了gzinflatebase64_decode加密,求解密,这种加密方法我以前也见过,只用把eval改为echo即可实现解密,但是情况并不是我想象的那么简单,输出的依然是乱码,网上找了一下终于找到了解决之道,分享给大家。PHP目前在网络中被用的越来越多,加密解密的话题也一直没有停息过。下面简单介绍一下base64_decode+gzinflate压缩编码...
o00o0o php,PHP $O00OO0=urldecode & eval 解密,记一次商业源码的去后门
weixin_29655587的博客
03-10 831
代码如下:$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00O...
eval(gzinflate(base64_decode无限加密文件的解密代码
harryxlb的专栏
07-13 2779
eval(gzinflate(base64_decode无限加密文件的解密代码: $codefile = "function.php.txt"; $fp1 = fopen($codefile, "r"); $contents = fread($fp1, filesize($codefile)); fclose($fp1); // while (preg_match("/eval\s\
php解密 eval( base64_decode,evalgzinflatebase64_decode三函数加密的代码在线解密
weixin_39800875的博客
03-10 610
&lt;?phpeval(gzinflate(base64_decode(&#039;DZW3roRaokQ/Z 7VDoDG62kCvPemgWSE9942X/9OXtGqparySod/6redqiE9yn ydC8J7H9Fmc9F c9/ MJB BOWmJ53cc9zOcp4tX5pkjFGldd4Syh6C5TLcmrf5Io4LzRdm8uZIYr0rtx3oScc7...
关于eval gzinflate base64_decode解密方法
大方子
05-11 3703
代码 <?php eval(gzinflate(base64_decode('加密部分 '))); ?> 只需要把eval 改成echo即可输出明文内容 相关题目:https://cgctf.nuptsast.com/challenges#WebPHP encode 如果改为echo还是类似的内容可以使用以下的的解密方法: 解法1: &l...
php解密js eval,js的eval解密还原算法
weixin_39604598的博客
03-25 782
eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return...
PHP隐形后门分析:ThinkPHP框架与base64_decode利用
在给定的代码片段中,base64_decode函数的参数解码后得到的是一个PHP代码字符串,该字符串会被写入到由base64_decode函数解码后的文件路径中(在这个例子中是`bW0ucGhw`,解码后为`mm.php`)。当这个文件被访问时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值