PHP-Parser運(yùn)用之goto解密經(jīng)歷

一、初識(shí)PHP-Parser

19年底跟著一個(gè)舊同事搞一個(gè)商城類(lèi)小程序的項(xiàng)目,開(kāi)發(fā)過(guò)程中遇到了一些加密的PHP文件,詢(xún)問(wèn)后才知道這是微擎的2C加密,里面很多goto的跳轉(zhuǎn)。每次同事都是發(fā)一個(gè)微信好友解密(說(shuō)是以前加的專(zhuān)門(mén)做解密的)。百度了一下發(fā)現(xiàn)也很多網(wǎng)站在做在線解密的。這種都是按照文件大小來(lái)收費(fèi)(kb),一個(gè)文件幾塊錢(qián),但對(duì)于一個(gè)項(xiàng)目的文件費(fèi)用也不少。同事說(shuō)PHP-Parser 解析器可以做到解密。不管怎么加密都要能被解析器解析,都會(huì)轉(zhuǎn)換為AST-抽象語(yǔ)法樹(shù)。春節(jié)遇到疫情不能出去就閑著折騰下。

  • PHP Parser 是由 nikic 開(kāi)發(fā)的一款 php 抽象語(yǔ)法樹(shù)(AST)解析工具,github下載鏈接php-parse 地址https://github.com/nikic/PHP-Parser
    下載好后新建文件試運(yùn)行官方例子,成功后能獲得官方例子一樣的抽象樹(shù)。

    image.png

  • 主要方法:

$parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);(創(chuàng)建解析器)
$ast = $parser->parse($code);(傳入代碼并返回抽象語(yǔ)法樹(shù))
$prettyPrinter->prettyPrintFile($ast);(把抽象語(yǔ)法樹(shù)轉(zhuǎn)換為php代碼)

二、探索解密方法

1.百度找到一篇怎樣手動(dòng)解密微擎框架的goto語(yǔ)句?的百度經(jīng)驗(yàn)。文中很清楚的說(shuō)明了解密原理。加密文件都是大量的label和goto語(yǔ)句,label里面就是代碼內(nèi)容,只是label順序是打亂的。需要通過(guò)goto語(yǔ)句跳轉(zhuǎn)串聯(lián)起來(lái)。最后把label都去掉就是源代碼了。
原理簡(jiǎn)單,對(duì)于代碼少的是可行的,但對(duì)于代碼量幾千行的文件這手動(dòng)的工作量是夠嗆的。
2.理解了上面原理后,想著能不能用php寫(xiě)個(gè)方法去解決?然后嘗試用PHP Parser傳入加密的代碼獲取AST抽象語(yǔ)法樹(shù),獲取到如下圖的AST。對(duì)比php加密文件發(fā)現(xiàn)$ast數(shù)組中的每個(gè)元素對(duì)應(yīng)內(nèi)容中的每一行。Label與Goto_中間就是我們要的代碼。按照goto_的跳轉(zhuǎn)把順序排出來(lái),然后把Laber和Goto_刪掉就是源代碼了。排序后的數(shù)組通過(guò)prettyPrintFile()方法轉(zhuǎn)為php代碼。

AST抽象樹(shù).png

3.特別要說(shuō)明一下的是\color{red}{if、for、foreach、switch、class里面代碼塊是在stmts中也需要獨(dú)立排序}
另外php的goto語(yǔ)句是有限制的:只能在同一個(gè)文件和作用域中跳轉(zhuǎn),無(wú)法跳出一個(gè)函數(shù)或者類(lèi)方法,也無(wú)法跳入另一個(gè)函數(shù),更無(wú)法跳入任何循環(huán)或者switiche結(jié)構(gòu)中。
寫(xiě)了個(gè)遞歸傳入第一個(gè)語(yǔ)句Label把代碼按goto順序串聯(lián)起來(lái)。試了兩個(gè)加密文件成功的代碼解密出來(lái)了,有點(diǎn)點(diǎn)小激動(dòng),剛試第三個(gè)文件就翻車(chē)了,報(bào)內(nèi)存溢出而且解密時(shí)間很久。然后把php配置中php.ini(memory_limit )改到1024m了。再試了其他,發(fā)現(xiàn)文件稍微大點(diǎn)的(40kb)文件就會(huì)超時(shí)或者內(nèi)存溢出。

4.各個(gè)節(jié)點(diǎn)輸出內(nèi)存定位到調(diào)用prettyPrintFile()的地方,一開(kāi)始以為是自己組裝ast數(shù)組的算法有問(wèn)題,對(duì)比解密出來(lái)的文件邏輯上沒(méi)發(fā)現(xiàn)有什么,就真以為內(nèi)存不夠用問(wèn)題,然后就在錯(cuò)誤的路上越走越遠(yuǎn),猜想是不是ast數(shù)組太大一次轉(zhuǎn)化不了,然后就搞成了一句一句代碼去調(diào)用方法轉(zhuǎn)換php代碼再輸入到文件中。最后成功的輸出解密后的代碼,但解密后的文件大小既然有10M。難怪會(huì)內(nèi)存溢出,再想想不科學(xué)啊。誰(shuí)會(huì)寫(xiě)代碼一個(gè)文件寫(xiě)這么多。所以問(wèn)題應(yīng)該還是出在組裝的ast數(shù)組。

5.再仔細(xì)的看了小文件解密出來(lái)的代碼發(fā)現(xiàn)很多重復(fù)的代碼,主要在發(fā)生在if語(yǔ)句里面的跟下面的內(nèi)容。如下圖

image_cf.png

圖中switch里面的內(nèi)容是一樣的。但是對(duì)比加密文件中的邏輯又是對(duì)的,但怎么看代碼都是寫(xiě)法有問(wèn)題。然后就百度想找點(diǎn)相關(guān)資料,然后看到一位大佬(破解微擎2C(goto混淆)解密之旅)說(shuō)goto混淆加密在if代碼塊有做混淆,需要反向解密。

二、淺談AST語(yǔ)法

1.需要做反向解密就需要知道ast中if元素中的語(yǔ)法內(nèi)容,然后去修改條件condition。這就必須要去弄懂a(chǎn)st的語(yǔ)法,之前基本沒(méi)接觸過(guò),關(guān)于寫(xiě)ast的資料也很少,應(yīng)該是屬于比較底層的技術(shù)??戳撕芏嘁策€一知半解。有興趣的可以去了解下AST(抽象語(yǔ)法樹(shù))超詳細(xì),有助于寫(xiě)出好的框架,或者處理代碼等。
2.查看ast知道if類(lèi)中cond字段主要保存的是條件,依然不是很懂if里面的語(yǔ)法,就想到把相關(guān)加密內(nèi)容抽出來(lái),然后修改條件對(duì)比ast抽象樹(shù)的內(nèi)容。
if ($request > 1) {}

大于1的條件.png

if ($request ) {}
有值不為空的條件.png

if (!$request ) {}
取非的條件.png

針對(duì)純if塊,去修改cond達(dá)到條件反向,然后把if中里面的goto和外面的goto調(diào)換。如下的B1K3t和o3vsQ調(diào)換。

if (!$condition) {
    goto B1K3t;
}
goto o3vsQ;

測(cè)試的加密代碼

goto PQNsu;
d3ERK:
$do = $_GPC["\144\157"];
goto EPIqU;
o3vsQ:
$xtitlea = urldecode($_GPC["\x78\x74\x69\x74\154\x65\x61"]);
goto tD6yl;
EoytB: global $_GPC, $_W;
goto ogF_j;
vBbWf:
$op = strlen($_GPC["\x6f\160"]) > 1 ? $_GPC["\157\x70"] : "\154\x69\163\164";
goto Md80W;
EPIqU:
if (!(strlen($_GPC["\x78\164\x69\x74\x6c\145\141"]) > 0)) {
    goto B1K3t;
}
goto o3vsQ;
y3LjA:
switch ($op) {
    case "\163\150\141\162\x65":
        goto URziN;
        ka34Z:
        goto GM3zF;
        goto dJE3d;
        Suxnm:
        goto t5lwU;
        goto vJNaD;
        tL1wK:
        if (!empty($_GPC["\156\x65\167"]) && $_GPC["\156\x65\167"] == 1) {
            goto qWt4U;
        }
        goto VpT2e;
        VpT2e:
        include $this->template("\157\154\x64\x2f\122\145\x63\x6f\162\144\x2f" . $op);
        goto Suxnm;
        vJNaD: qWt4U:
        goto A2IVc;
        URziN:
        $times = array("\x73\164\141\x72\x74" => date("\131\55\x6d\55\x64") . "\40\x30\60\x3a\60\x30\72\x30\x30", "\145\x6e\144" => date("\x59\x2d\x6d\55\x64") . "\40\x32\63\x3a\65\x39\x3a\65\x39");
        goto tL1wK;
        A2IVc:
        include $this->template("\155\171\155\x61\156\x61\147\145\57" . strtolower($_GPC["\144\x6f"]) . "\57" . $op);
        goto OUmi_;
        OUmi_: t5lwU:
        goto ka34Z;
        dJE3d:
    case "\x67\145\164\x73\145\x61\x63\150\x6a\163\x6f\x6e":
        goto MEVAi;
        H7vbb:
        $params = array();
        goto VPN1q;
        GW6qL: Nq9hx:
        goto BI3pO;
        ZpEwm:
        $params["\x3a\x73\x74\141\x72\x74\x5f\x74\x69\155\x65"] = strtotime($times["\x73\164\x61\x72\x74"]);
        goto IJ5Yo;
        jjraf: KizGW:
        goto IDenM;
        VFMDk:
        $where = "\x20\127\110\x45\122\105\40\165\x6e\151\141\x63\x69\x64\75\x3a\x75\156\x69\x61\143\x69\x64\40";
        goto H7vbb;
        Ic4HW:
        $params["\x3a\157\160\145\x6e\151\144"] = "\x25" . $_GPC["\157\160\x65\156\x69\x64"] . "\45";
        goto uCX6b;
        j0Xsg:
        $listmodel = pdo_fetchall($sql, $params);
        goto k23WD;
        KIS67:
        $where .= "\40\101\116\x44\40\165\x6e\x69\x78\x5f\164\x69\x6d\x65\x73\164\141\155\x70\50\143\x72\x65\141\x74\145\x74\x69\155\145\51\x3e\x3d\72\163\x74\141\x72\x74\137\164\151\155\145\40\x41\116\104\x20\165\156\x69\x78\137\x74\151\155\x65\x73\164\x61\x6d\160\50\x63\162\x65\141\164\x65\164\x69\x6d\x65\x29\x3c\75\x3a\x65\156\x64\137\164\x69\155\145\40";
        goto ZpEwm;
        zE3CJ:
        $sql = "\x53\x45\x4c\x45\103\x54\x20\x43\117\x55\116\124\50\x2a\51\x20\x46\122\117\115\x20\x20\40" . $fulltable . $where;
        goto F3hpp;
        JoJ5V:
        $fulltable = tablename($tablename);
        goto zE3CJ;
        VOG6F:
        $times = $_GPC["\x74\151\155\145\x73"];
        goto KIS67;
        W0s2c:
        $where .= "\x20\x41\116\104\x20\157\160\x65\x6e\x69\144\x20\x4c\x49\113\105\x20\72\x6f\160\145\x6e\x69\x64\40";
        goto Ic4HW;
        MDXuE:
        $sql = "\123\105\x4c\105\103\x54\x20\x2a\40\106\122\117\x4d\40\x20{$fulltable}\40\x20\40{$where}\40\x4f\x52\x44\x45\x52\40\x42\x59\x20" . $ararysort["\157\x72\144\145\162"] . "\40\x4c\x49\115\x49\x54\x20" . $ararysort["\157\146\x66\x73\145\x74"] . "\x2c" . $ararysort["\x6c\151\155\151\x74"];
        goto j0Xsg;
        MEVAi:
        $ararysort = ararysorts();
        goto VFMDk;
        VPN1q:
        if (empty($_GPC["\x6f\160\x65\x6e\x69\144"])) {
            goto Cu8TN;
        }
        goto W0s2c;
        HZsFd:
        $jsondate["\162\157\x77\163"] = array();
        goto ZmKAL;
        IJ5Yo:
        $params["\x3a\145\156\x64\137\x74\x69\155\x65"] = strtotime($times["\145\x6e\144"]);
        goto GW6qL;
        ZmKAL:
        xc_ajax($jsondate);
        goto jjraf;
        xZbm2: Mi4bU:
        goto HZsFd;
        leRgM:
        $jsondate = array();
        goto z12xr;
        pg3e7:
        goto KizGW;
        goto xZbm2;
        ehhW4:
        if (empty($jsondate["\164\157\164\x61\x6c"])) {
            goto Mi4bU;
        }
        goto MDXuE;
        BI3pO:
        $params["\165\x6e\x69\141\143\151\144"] = $_W["\165\x6e\151\141\143\151\x64"];
        goto JoJ5V;
        O4Ft1:
        if (empty($_GPC["\164\151\155\x65\163"])) {
            goto Nq9hx;
        }
        goto VOG6F;
        IDenM:
        goto GM3zF;
        goto O_71I;
        F3hpp:
        $total = pdo_fetchcolumn($sql, $params);
        goto leRgM;
        z12xr:
        $jsondate["\x74\157\164\141\154"] = pdo_fetchcolumn($sql, $params);
        goto ehhW4;
        lQ1Aw:
        xc_ajax($jsondate);
        goto pg3e7;
        k23WD:
        $jsondate["\x72\x6f\x77\x73"] = $listmodel;
        goto lQ1Aw;
        uCX6b: Cu8TN:
        goto O4Ft1;
        O_71I:
    case "\x73\x74\141\164\x75\163\137\x63\150\x61\156\147\145":
        goto WyrOc;
        WyrOc:
        $request = pdo_update($tablename, array("\x73\x74\141\164\x75\163" => $_GPC["\163\x74\141\x74\x75\163"], "\141\x70\x70\x6c\x79\164\151\x6d\145" => date("\x59\55\155\55\x64\40\110\x3a\x69\x3a\x73")), array("\x75\156\151\x61\x63\x69\x64" => $_W["\165\156\x69\141\143\x69\144"], "\151\x64" => $_GPC["\x69\x64"]));
        goto B6H7M;
        tt_Il:
        goto POSQh;
        goto fpjiG;
        JTPLL:
        xc_message(-1, null);
        goto tt_Il;
        qm8pg:
        goto GM3zF;
        goto mH417;
        zAERF:
        xc_message(1, null);
        goto WQO1O;
        fpjiG: FutW7:
        goto zAERF;
        B6H7M:
        if ($request) {
            goto FutW7;
        }
        goto JTPLL;
        WQO1O: POSQh:
        goto qm8pg;
        mH417:
}
goto ih3iG;
PQNsu:
defined("\111\116\137\111\x41") or exit("\x41\x63\143\x65\163\x73\x20\104\145\156\x69\x65\x64");
goto EoytB;
cw07p: B1K3t:
goto y3LjA;
ogF_j:
$uniacid = $_W["\x75\156\x69\x61\x63\x69\x64"];
goto vBbWf;
tD6yl:
$xtitleb = urldecode($_GPC["\170\x74\151\x74\154\145\142"]);
goto cw07p;
ih3iG: L8RpU:
goto Oyht_;
Md80W:
$tablename = "\x78\143\x5f\142\x65\x61\165\x74\171\x5f\141\160\160\x6c\171";
goto d3ERK;
Oyht_: GM3zF:

解密后的代碼

defined("IN_IA") or exit("Access Denied");
global $_GPC, $_W;
$uniacid = $_W["uniacid"];
$op = strlen($_GPC["op"]) > 1 ? $_GPC["op"] : "list";
$tablename = "xc_beauty_apply";
$do = $_GPC["do"];
if (strlen($_GPC["xtitlea"]) > 0) {
    $xtitlea = urldecode($_GPC["xtitlea"]);
    $xtitleb = urldecode($_GPC["xtitleb"]);
}
switch ($op) {
    case "share":
        $times = array("start" => date("Y-m-d") . " 00:00:00", "end" => date("Y-m-d") . " 23:59:59");
        if (!empty($_GPC["new"]) && $_GPC["new"] == 1) {
            include $this->template("mymanage/" . strtolower($_GPC["do"]) . "/" . $op);
        }
        include $this->template("old/Record/" . $op);
        break;
    case "getseachjson":
        $ararysort = ararysorts();
        $where = " WHERE uniacid=:uniacid ";
        $params = array();
        if (!empty($_GPC["openid"])) {
            $where .= " AND openid LIKE :openid ";
            $params[":openid"] = "%" . $_GPC["openid"] . "%";
        }
        if (empty($_GPC["times"])) {
            $params["uniacid"] = $_W["uniacid"];
            $fulltable = tablename($tablename);
            $sql = "SELECT COUNT(*) FROM   " . $fulltable . $where;
            $total = pdo_fetchcolumn($sql, $params);
            $jsondate = array();
            $jsondate["total"] = pdo_fetchcolumn($sql, $params);
            if (empty($jsondate["total"])) {
                $jsondate["rows"] = array();
                xc_ajax($jsondate);
            }
            $sql = "SELECT * FROM  {$fulltable}   {$where} ORDER BY " . $ararysort["order"] . " LIMIT " . $ararysort["offset"] . "," . $ararysort["limit"];
            $listmodel = pdo_fetchall($sql, $params);
            $jsondate["rows"] = $listmodel;
            xc_ajax($jsondate);
        }
        $times = $_GPC["times"];
        $where .= " AND unix_timestamp(createtime)>=:start_time AND unix_timestamp(createtime)<=:end_time ";
        $params[":start_time"] = strtotime($times["start"]);
        $params[":end_time"] = strtotime($times["end"]);
        $params["uniacid"] = $_W["uniacid"];
        $fulltable = tablename($tablename);
        $sql = "SELECT COUNT(*) FROM   " . $fulltable . $where;
        $total = pdo_fetchcolumn($sql, $params);
        $jsondate = array();
        $jsondate["total"] = pdo_fetchcolumn($sql, $params);
        if (empty($jsondate["total"])) {
            $jsondate["rows"] = array();
            xc_ajax($jsondate);
        }
        $sql = "SELECT * FROM  {$fulltable}   {$where} ORDER BY " . $ararysort["order"] . " LIMIT " . $ararysort["offset"] . "," . $ararysort["limit"];
        $listmodel = pdo_fetchall($sql, $params);
        $jsondate["rows"] = $listmodel;
        xc_ajax($jsondate);
        break;
    case "status_change":
        $request = pdo_update($tablename, array("status" => $_GPC["status"], "applytime" => date("Y-m-d H:i:s")), array("uniacid" => $_W["uniacid"], "id" => $_GPC["id"]));
        if ($request) {
            xc_message(1, null);
        }
        xc_message(-1, null);
        break;
}

三、總結(jié)

至此算法已經(jīng)完美的代碼解密出來(lái)。
如果需要完整工程項(xiàng)目可以去這里下載(需付費(fèi)):
項(xiàng)目地址
安裝好PHP7.0或者以上版本就可以跑了。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容