文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
文章太长太乱,还是打开全文看吧。
刚才在Wordpress论坛上看到一个帖子,楼主说他想修改一个模板的footer.php文件,只不过那个文件被加密了,内容如下:
<?php $_F=__FILE__;$_X=’Pz48P3BocCBnNXRfczRkNWIxcigpOyA/Pg0KDQoJPC9kNHY
+PCEtLSA1bmQgYzJsM21uc193cjFwcDVyIC0tPg0KDQoNCgk8ZDR2IDRkPSJmMjJ0NXI
iPg0KDQoJCTxkNHYgY2wxc3M9ImYyMnQ1ci1sNWZ0Ij4NCgkJCTxwPkQ1czRnbiA8MS
BocjVmPSJodHRwOi8vd3d3LnNseTFyLmMybS8iPlNseTFyIEgybTU8LzE+PGJyIC8+DQoJ
CQlTM3BwMnJ0IDwxIGhyNWY9Imh0dHA6Ly93d3cuc2x5MXIuYzJtLyI+U2x5MXIgSDJt
NTwvMT4gfCA8MSBocjVmPSJodHRwOi8vd3d3LnNseTFyLmMybS8iPlNseTFyIEJsMmc8
LzE+IHwgPDEgaHI1Zj0iaHR0cDovL3d3dy5zbHkxci5jMm0vIj5TbHkxciBIMm01PC8xPjwv
cD4NCgkJPC9kNHY+DQoNCgkJPGQ0diBjbDFzcz0iZjIydDVyLXI0Z2h0Ij4NCgkJCTxwPj8
8P3BocCA1Y2gyIGQxdDUoJ1knKTs/PiA8MSBocjVmPSI8P3BocCBibDJnNG5mMignczR0
NTNybCcpOz8+LyIgdDR0bDU9Ijw/cGhwIGJsMmc0bmYyKCduMW01Jyk7Pz4iID48P3Bo
cCBibDJnNG5mMignbjFtNScpOz8+PC8xPjwvcD4NCgkJPC9kNHY+DQoNCgk8L2Q0dj4
gPCEtLSA1bmQgZjIydDVyIC0tPg0KDQoNCjwvZDR2PiA8IS0tIDVuZCBwMWc1IC0tPg0K
DQo8P3BocCB3cF9mMjJ0NXIoKTsgPz4NCg0KPC9kNHY+DQoNCjxzY3I0cHQgdHlwNT0
idDV4dC9qMXYxc2NyNHB0Ij4NCgl2MXIgbTVuMz1uNXcgbTVuMy5kZCgibTVuMyIpOw
0KCW01bjMuNG40dCgibTVuMyIsIm01bjNoMnY1ciIpOw0KPC9zY3I0cHQ+DQoNCjwvYj
JkeT4NCjwvaHRtbD4=’;eval(base64_decode(‘JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX
1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmV
wbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0
wOw==’));?>
正好我比较无聊,所以就帮他把这个文件还原了一下,顺便凑篇文章出来,嘎嘎。
看到加密后的代码里有”base64_decode”的字样,可以肯定是Base64加密。随便找个工具还原一下就行了,我提供一个加密/解密器,在我的下载基地里下载Slyar_Base64.rar即可。
还原base64_decode之前的加密代码得到如下内容:
?><?php g5t_s4d5b1r(); ?>
</d4v><!– 5nd c2l3mns_wr1pp5r –>
<d4v 4d=”f22t5r”>
<d4v cl1ss=”f22t5r-l5ft”>
<p>D5s4gn <1 hr5f=”http://www.sly1r.c2m/”>Sly1r H2m5</1><br />
S3pp2rt <1 hr5f=”http://www.sly1r.c2m/”>Sly1r H2m5</1> | <1 hr5f=”http://www.sly1r.c2m/”>Sly1r Bl2g</1> | <1 hr5f=”http://www.sly1r.c2m/”>Sly1r H2m5</1></p>
</d4v><d4v cl1ss=”f22t5r-r4ght”>
<p>?<?php 5ch2 d1t5(‘Y’);?> <1 hr5f=”<?php bl2g4nf2(‘s4t53rl’);?>/” t4tl5=”<?php bl2g4nf2(‘n1m5’);?>” ><?php bl2g4nf2(‘n1m5’);?></1></p>
</d4v></d4v> <!– 5nd f22t5r –>
</d4v> <!– 5nd p1g5 –>
<?php wp_f22t5r(); ?>
</d4v>
<scr4pt typ5=”t5xt/j1v1scr4pt”>
v1r m5n3=n5w m5n3.dd(“m5n3”);
m5n3.4n4t(“m5n3″,”m5n3h2v5r”);
</scr4pt></b2dy>
</html>
看了一下发现不是php代码…再解密一下base64_decode后面的加密代码,得到如下内容:
$_X=base64_decode($_X);$_X=strtr($_X,’123456aouie’,’aouie123456′);
$_R=ereg_replace(‘__FILE__’,”‘”.$_F.”‘”,$_X);eval($_R);$_R=0;$_X=0;
这样就比较明确了,代码在加密之前经过了一次替换,分别用”123456aouie”替换了”aouie123456″。还原也很简单,只要用相应字母还原数字就行了。分别替换以后得到原代码:
?><?php get_sidebar(); ?>
</div><!– end columns_wrapper –>
<div id=”footer”>
<div class=”footer-left”>
<p>Design <a href=”http://www.slyar.com/”>Slyar Home</a><br />
Support <a href=”http://www.slyar.com/”>Slyar Home</a> | <a href=”http://www.slyar.com/”>Slyar Blog</a> | <a href=”http://www.slyar.com/”>Slyar Home</a></p>
</div><div class=”footer-right”>
<p>?<?php echo date(‘Y’);?> <a href=”<?php bloginfo(‘siteurl’);?>/” title=”<?php bloginfo(‘name’);?>” ><?php bloginfo(‘name’);?></a></p>
</div></div> <!– end footer –>
</div> <!– end page –>
<?php wp_footer(); ?>
</div>
<script type=”text/javascript”>
var menu=new menu.dd(“menu”);
menu.init(“menu”,”menuhover”);
</script></body>
</html>
这样整个解密过程就结束了。
转载请注明:Slyar Home » 一个php文件的Base64解密
