一、破解工具之php-screw-brute
1、项目地址
https://github.com/securifybv/php-screw-brute
2、项目介绍
此脚本可以恢复/爆破php screw使用的密钥。PHP Screw使用压缩文件的长度来确定(硬编码)密钥的起始索引。PHP Screw的工作原理是首先使用ZLIB(级别1)压缩PHP文件,然后按位取反,再与密钥进行异或。 因为ZLIB具有固定的头部并且不同文件的起始索引不同,所以可以恢复密钥的一部分, 其余字节可以爆破。 通常,你拥有的文件越多,恢复密钥的速度就越快。 当然,所有文件都必须使用相同的PHP Screw密钥进行加密。 如果你拥有的文件足够多,则可直接恢复密钥而不需要爆破。
下图1是php文件经过php screw加密后的一个样子,通过开头的“PM9SCREW”字符串得知使用了php screw进行加密。
图1
3、使用
下图2是使用方法,解密成功后,会在相同目录下生成以“.plain”为后缀的同名文件。比如待解密的文件是“index.php”,则解密成功后生成“index.php.plain”文件。
图2
写了一个python脚本,用于筛选解密成功的php文件。
#!/usr/bin/python
# -*- coding: UTF-8 -*-
import os
import shutil
def main():
src = '/root/Download/demo'
dst = src + '_backup'
shutil.copytree(src,dst) #备份
for root,dirs,files in os.walk(src):
for name in files:
basename, ext = os.path.splitext(name)
oldname = os.path.join(root,name)
newname = os.path.join(root,basename)
if ext == '.php':
os.remove(oldname) #删除原来的加密的PHP文件
if ext == '.plain':
os.rename(oldname,newname) #重命名解密成功的文件 filename.php.plain => filename.php
print('Good job')
if __name__ == '__main__':
main()
二、破解工具之screw_decode
1、项目地址
https://github.com/firebroo/screw_decode
2、项目介绍
前提需要有加密之后的文件,和加密的扩展库php_screw.so 打开screwdecode.c找到PM9SCREW,PM9SCREW_LEN和pm9screw_mycryptkey,3个可能被使用者修改,需要用IDA去查找然后替换掉。 pm9screw_mycryptkey是至关重要的,拿不到就解密不了。别的两个可以暴力尝试解决,其实就是读取掉头部n个字节尝试解密。
3、安装和使用
安装:
git clone https://github.com/firebroo/screw_decode.git
make
如果以上出错,就看报错然后google,一个是依赖php-devel,一个是依赖zlibc-devel
使用:
sudo ./decode path
说明: 结果保存在同目录,文件名字为原文件名字后面追加.decode, sudo 权限保证可以有chdir和创建文件权限。
三、IDA获取加密的key
1、通过导图查找
首先找到php_screw.so文件,然后通过IDA分析(幸好之前跟基友要了份IDA)。加密过程是在pm9screw_ext_fopen函数中实现的,所以只需要到这个函数中去找加密部分即可。
图3
找到pm9screw_ext_fopen函数,双击,如图4所示:
图4
然后右边的窗口就会如图5所示:
图5
很明显,我标黄的就是加密密钥了,双击跳转至其指针保存处:
图6
再次双击,跟踪变量,见下图7,打码处就是密钥了。
图7
如下图8,右键,将十六进制的密钥转成十进制的,然后打开screwdecode.c,见下图9,将密钥替换掉,即可使用screw_decode解密。
图8
图9
2、通过伪代码查找
再找到目标函数之后,使用F5,查看伪代码,双击黄标也可以跳转到之前找到的位置。
图10
四、php-screw加密文件
1、项目地址
https://sourceforge.net/projects/php-screw/ 或者
https://github.com/Luavis/php-screw
2、使用
(1)我是在kali-rolling上测试的,提示没有phpize这个命令。
apt-get install php-dev
(2)然后解压
tar –zxvf php_screw-1.5.tar.gz
图9
(3) 编译PHP扩展的工具,主要是根据系统信息生成对应的configure文件
Phpize
./configure
图10
图11
(4)编辑my_screw.h修改pm9screw_mycryptkey密钥的值
如图12是默认值。
图12
(5)此外我们可以编辑php_screw.h修改PM9SCREW 和 PM9SCREW_LEN的值,注意PM9SCREW_LEN的值要小于等于PM9SCREW的长度。如图13是其默认值。
图13
(5)进行编译
如图14编译时出错了,在php_screw的目录下以下命令执行即可解决,最后编译成功。
sed -i "s/CG(extended_info) = 1;/CG(compiler_options) |= ZEND_COMPILE_EXTENDED_INFO;/g" php_screw.c
图14
(6)将编译好的php_screw.so拷贝到php扩展库目录。
通过phpinfo()页面查找extension-dir关键字
图16
将编译好的php_screw.so拷贝到php扩展目录。
cp modules/php_screw.so /usr/lib/php/20151012/php_screw.so
(7)编辑php.ini添加以下一行代码
extension=php_screw.so
(8)重启http服务器
Service apache2 restart
(9)编译加密工具
cd tools
make
编译完成后生成screw可执行文件。
图17
(10)尝试加密一个php文件
我们写一个phpinfo.php文件内容是
然后执行./screw phpinfo.php加密文件,见下图18。
图18
(11)将加密好的文件拷贝到web目录
cp phpinfo.php /var/www/html/phpinfo.php
图19
(12)批量加密php文件
find /data/php/source -name “*.php” -print|xargs -n1 screw //加密所有的.php文件
五、参考:
php_screw的加密和解密探究(二)解密算法与Python实现:
https://www.skactor.tk/2018/03/26/php-screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%BA%8C%EF%BC%89%E8%A7%A3%E5%AF%86%E7%AE%97%E6%B3%95%E4%B8%8Epython%E5%AE%9E%E7%8E%B0/
php_screw的加密和解密探究(一)编译Screw扩展并测试:
https://www.skactor.tk/2018/03/25/php_screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%B8%80%EF%BC%89%E7%BC%96%E8%AF%91Screw%E6%89%A9%E5%B1%95%E5%B9%B6%E6%B5%8B%E8%AF%95/
用 phpize 编译共享 PECL 扩展库:
https://www.php.net/manual/zh/install.pecl.phpize.php
转载请注明出处。