吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4176|回复: 19
收起左侧

[分享] hook eval解密混淆学习过程

  [复制链接]
baitianbait 发表于 2021-3-26 10:22
看了吾爱大神一篇zym加密 带乱码调试过程的文章,对php混淆加密有了初步了解。
刚好再学习一个php支付类代码的时候使用了php混淆,于是就按照大神的方法记录一下学习过程;

案例:样本图片
1616723681(1).png

刚看见还不太了解什么加密,在网上找了加密网站进行测试,提示为zym混淆加密。
看大神文章有eval劫持方法
1616723954(1).png

网上开始学习原理:参考文章
PHP中的eval函数在Zend里需要调用zend_compile_string函数,写一个拓展hook这个函数。
参考在GitHub中的一个拓展库。
20200202214739.png

编译生成一个evalhook.so
centos php5.6+Nginx 环境配置
将 evalhook.so 拷贝到 php 的拓展目录下,并且向php.ini中添加extension=evalhook.so重新启动Nginx之后,可以通过web访问php文件,会直接打印出源码。运行看看结果:
1616724857(1).png

到此,使用大神的eval劫持方法解密完成。

免费评分

参与人数 3吾爱币 +8 热心值 +3 收起 理由
wangxd + 1 + 1 鼓励转贴优秀软件安全工具和文档!
技术少年 + 1 + 1 用心讨论,共获提升!
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

宅の士 发表于 2021-3-27 10:05
楼主这个还好源文件尚未编译因此拦截zend_compile_string可得源代码,
我遇到的是已经zend_compile_string编译为OpCache的PHP BIN没有源代码,
网上也没找到OpCache码还原源代码的小工具,只有一些OpCache码手动翻译指令含义的文献
哎。。😔
djxding 发表于 2021-3-26 11:55
大侠在路上 发表于 2021-3-26 10:43
具体操作没看懂,但是思路我是学习到了,感谢楼主。
djxding 发表于 2021-3-26 10:48
太难了,看不懂。
路过。
爱你小吉君 发表于 2021-3-26 11:19
路过,看不懂
 楼主| baitianbait 发表于 2021-3-26 11:20
djxding 发表于 2021-3-26 10:48
太难了,看不懂。
路过。

可以参考网上hook eval的文章先学习学习
yks1985 发表于 2021-3-26 11:21
一头雾水,还是没看明白
 楼主| baitianbait 发表于 2021-3-26 11:24
yks1985 发表于 2021-3-26 11:21
一头雾水,还是没看明白

需要了解下php扩展
BY丶显示 发表于 2021-3-26 11:25
不知道win平台行不行,我试一试。谢谢分享。
aonima 发表于 2021-3-26 11:33
路过,php基本忘了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 15:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表