通过hook eval解密混淆的PHP文件

Y4er 收录于类别二进制和系列 Series

2020-02-02 2020-02-02 约 694 字预计阅读 2 分钟

警告

本文最后更新于 2020-02-02，文中内容可能已过时。

扒开加密shell的底裤。

想找一款好用的大马，还得分析分析有没有后门，但很多大马都是加密的，于是想试试能不能解密这些鬼代码，遂有此文。

1 PHP混淆原理

一般来讲，混淆分为两种

利用拓展进行加密
不需要拓展，单文件加密

本文主要针对第二种，而单文件加密的一般都是对源码进行字符串操作，比如对字符串移位、拼接，或者重新定义变量，重新赋值数组，总之就是尽可能减少程序可读性。但是所有加密过的代码都会经过多次eval来重新还原为php代码执行，所以我们可以hook PHP中的eval函数来输出经过eval函数的参数，参数就是源码。

2 hook eval

PHP中的eval函数在Zend里需要调用zend_compile_string函数，我们写一个拓展直接hook这个函数就行了。不过我不会写c代码，所以参考网上的文章，在GitHub中找到了现成的一个拓展库。

https://github.com/bizonix/evalhook 需要编译，不过我在文末提供了编译好的so文件。

修改 evalhook.c 中这部分代码，否则只能在命令行中使用。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
static zend_op_array *evalhook_compile_string(zval *source_string, char *filename TSRMLS_DC)
{
        int c, len, yes;
        char *copy;

        /* Ignore non string eval() */
        if (Z_TYPE_P(source_string) != IS_STRING) {
                return orig_compile_string(source_string, filename TSRMLS_CC);
        }

        len  = Z_STRLEN_P(source_string);
        copy = estrndup(Z_STRVAL_P(source_string), len);
        if (len > strlen(copy)) {
                for (c=0; c<len; c++) if (copy[c] == 0) copy[c] == '?';
        }
        php_printf("\n--------- Decrypt start ------------\n");
        php_printf(copy);
        php_printf("\n--------- Decrypt done ------------\n");
        return orig_compile_string(source_string, filename TSRMLS_CC);

}

centos php5.6+apache 然后运行

1
2
3
yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
yum install --enablerepo=remi --enablerepo=remi-php56 php-devel
phpize && ./configure && make

将 evalhook/modules/evalhook.so 拷贝到 php 的拓展目录下，并且向php.ini中添加