我继续得到坏的幻数。我不知道这是什么意思。
这是我输入到 CLI 的内容:
openssl enc -d -rc2-cbc -base64 -k AUvS8jou0Z9K7Bf9 -iv 6f73575664616a4f0d0a -in input.enc -out output.dec
在 input.enc 我有:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ==
背景资料:
我正在分析 carberp 僵尸网络恶意软件,我似乎遇到了加密数据未被解密的问题。经过大量调查,我发现恶意软件发送了一个带有加密值的 http 帖子。该值是 rc2 加密并以 base64 编码,IV 位于帖子末尾
这是摘录: 帖子中的价值:
osWVmy7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQdajO==
IV 是值的前 4 个和后 4 个字符(不包括 ==)
osWVdajO
加密的消息应该是:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ
使它看起来像base64:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ==
我使用的密码(配置时)是
AUvS8jou0Z9K7Bf9
输出应该是:
id=AdminPanelEchoKey020F504D0263A5D01
每次我尝试将它输入到 php 中的 openssl_decrypt 时,它都会返回一个空字符串(不知道为什么)。