最新消息:点击查看大S的省钱秘笈

一个php文件的Base64解密

电脑技巧 Slyar 280浏览 0评论

文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。

文章太长太乱,还是打开全文看吧。

刚才在Wordpress论坛上看到一个帖子,楼主说他想修改一个模板的footer.php文件,只不过那个文件被加密了,内容如下:

<?php $_F=__FILE__;$_X='Pz48P3BocCBnNXRfczRkNWIxcigpOyA/Pg0KDQoJPC9kNHY
+PCEtLSA1bmQgYzJsM21uc193cjFwcDVyIC0tPg0KDQoNCgk8ZDR2IDRkPSJmMjJ0NXI
iPg0KDQoJCTxkNHYgY2wxc3M9ImYyMnQ1ci1sNWZ0Ij4NCgkJCTxwPkQ1czRnbiA8MS
BocjVmPSJodHRwOi8vd3d3LnNseTFyLmMybS8iPlNseTFyIEgybTU8LzE+PGJyIC8+DQoJ
CQlTM3BwMnJ0IDwxIGhyNWY9Imh0dHA6Ly93d3cuc2x5MXIuYzJtLyI+U2x5MXIgSDJt
NTwvMT4gfCA8MSBocjVmPSJodHRwOi8vd3d3LnNseTFyLmMybS8iPlNseTFyIEJsMmc8
LzE+IHwgPDEgaHI1Zj0iaHR0cDovL3d3dy5zbHkxci5jMm0vIj5TbHkxciBIMm01PC8xPjwv
cD4NCgkJPC9kNHY+DQoNCgkJPGQ0diBjbDFzcz0iZjIydDVyLXI0Z2h0Ij4NCgkJCTxwPj8
8P3BocCA1Y2gyIGQxdDUoJ1knKTs/PiA8MSBocjVmPSI8P3BocCBibDJnNG5mMignczR0
NTNybCcpOz8+LyIgdDR0bDU9Ijw/cGhwIGJsMmc0bmYyKCduMW01Jyk7Pz4iID48P3Bo
cCBibDJnNG5mMignbjFtNScpOz8+PC8xPjwvcD4NCgkJPC9kNHY+DQoNCgk8L2Q0dj4
gPCEtLSA1bmQgZjIydDVyIC0tPg0KDQoNCjwvZDR2PiA8IS0tIDVuZCBwMWc1IC0tPg0K
DQo8P3BocCB3cF9mMjJ0NXIoKTsgPz4NCg0KPC9kNHY+DQoNCjxzY3I0cHQgdHlwNT0
idDV4dC9qMXYxc2NyNHB0Ij4NCgl2MXIgbTVuMz1uNXcgbTVuMy5kZCgibTVuMyIpOw
0KCW01bjMuNG40dCgibTVuMyIsIm01bjNoMnY1ciIpOw0KPC9zY3I0cHQ+DQoNCjwvYj
JkeT4NCjwvaHRtbD4=';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX
1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmV
wbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0
wOw=='));?>

正好我比较无聊,所以就帮他把这个文件还原了一下,顺便凑篇文章出来,嘎嘎。

看到加密后的代码里有"base64_decode"的字样,可以肯定是Base64加密。随便找个工具还原一下就行了,我提供一个加密/解密器,在我的下载基地里下载Slyar_Base64.rar即可。

base64

还原base64_decode之前的加密代码得到如下内容:

?><?php g5t_s4d5b1r(); ?>

</d4v><!-- 5nd c2l3mns_wr1pp5r -->

<d4v 4d="f22t5r">

<d4v cl1ss="f22t5r-l5ft">
<p>D5s4gn <1 hr5f="http://www.sly1r.c2m/">Sly1r H2m5</1><br />
S3pp2rt <1 hr5f="http://www.sly1r.c2m/">Sly1r H2m5</1> | <1 hr5f="http://www.sly1r.c2m/">Sly1r Bl2g</1> | <1 hr5f="http://www.sly1r.c2m/">Sly1r H2m5</1></p>
</d4v>

<d4v cl1ss="f22t5r-r4ght">
<p>?<?php 5ch2 d1t5('Y');?> <1 hr5f="<?php bl2g4nf2('s4t53rl');?>/" t4tl5="<?php bl2g4nf2('n1m5');?>" ><?php bl2g4nf2('n1m5');?></1></p>
</d4v>

</d4v> <!-- 5nd f22t5r -->

</d4v> <!-- 5nd p1g5 -->

<?php wp_f22t5r(); ?>

</d4v>

<scr4pt typ5="t5xt/j1v1scr4pt">
v1r m5n3=n5w m5n3.dd("m5n3");
m5n3.4n4t("m5n3","m5n3h2v5r");
</scr4pt>

</b2dy>
</html>

看了一下发现不是php代码...再解密一下base64_decode后面的加密代码,得到如下内容:

$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');
$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;

这样就比较明确了,代码在加密之前经过了一次替换,分别用"123456aouie"替换了"aouie123456"。还原也很简单,只要用相应字母还原数字就行了。分别替换以后得到原代码:

?><?php get_sidebar(); ?>

</div><!-- end columns_wrapper -->

<div id="footer">

<div class="footer-left">
<p>Design <a href="http://www.slyar.com/">Slyar Home</a><br />
Support <a href="http://www.slyar.com/">Slyar Home</a> | <a href="http://www.slyar.com/">Slyar Blog</a> | <a href="http://www.slyar.com/">Slyar Home</a></p>
</div>

<div class="footer-right">
<p>?<?php echo date('Y');?> <a href="<?php bloginfo('siteurl');?>/" title="<?php bloginfo('name');?>" ><?php bloginfo('name');?></a></p>
</div>

</div> <!-- end footer -->

</div> <!-- end page -->

<?php wp_footer(); ?>

</div>

<script type="text/javascript">
var menu=new menu.dd("menu");
menu.init("menu","menuhover");
</script>

</body>
</html>

这样整个解密过程就结束了。

转载请注明:Slyar Home » 一个php文件的Base64解密

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (17)

  1. 为什么文件下载后杀毒软件提示病毒啊!!
    kk_钦4年前 (2013-06-25)回复
  2. 博主,能帮我解密几个文件吗?
    80后男人5年前 (2012-05-22)回复
  3. $_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0; 请问这句是什么意思?如何解密?
    shelwee5年前 (2011-11-06)回复
  4. 很强大的工具 支持一下 我也正好研究footer解密
    roger6年前 (2010-09-06)回复
  5. 你好. 今天看到了你的这个好工具,,不过我使用的时候,好像解密不出来加密前的内容.. "?P?5訮?N<oz岯?" ..一直都显示的这个. 希望给与帮助..谢谢..
    lucker7年前 (2009-10-13)回复
  6. 您好 按照您的方法 可以成功解密 FOOTER文件 但是 index.php文件解密不成功。好像格式不太相同。 希望能得到您的联系方式并且或则帮助。 期待回复!
    小凡7年前 (2009-09-27)回复
  7. @felix021 "加密"是一个很好的关键字...恩,就是base64命令吧,我玩过,嘿嘿~
    Slyar7年前 (2009-09-03)回复
  8. 这个七七八八的东西一看就让人想到BASE64。。。 其实BASE64不是加密阿,只是换一种编码方式而已,有点像十进制转二进制。 p.s. 还是Linux好,直接有个base64实用工具,hoho。
    felix0217年前 (2009-09-03)回复
  9. @ 用UE或者editplus或者记事本批量替换...
    Slyar7年前 (2009-09-02)回复
  10. 最后一步是手动替换吗?
    匿名7年前 (2009-09-02)回复
  11. @趣图, 恩?我刚测试了,可以的啊,你什么症状?
    Slyar8年前 (2009-06-26)回复
  12. 下载的程序用不起啊???
    趣图8年前 (2009-06-26)回复
  13. @lemon, 嘿嘿,恩,成就感油然而生~~
    Slyar8年前 (2009-05-03)回复
  14. .....我找了N年...结果在S你这找到...囧
    lemon8年前 (2009-05-03)回复
  15. eval($_R); >> echo ($_R);
    小李8年前 (2009-03-04)回复
  16. 输出出来的源码就是解密的。。。以前也有被这个加密整的。
    wangyh8年前 (2009-02-22)回复
  17. 好恶心,好复杂的 Base64。 BS 一下故意加密 footer 的模板。
    NetPuter8年前 (2009-02-14)回复