0

如何解码这个 php curl 脚本:http ://pastebin.com/raw.php?i=YWE1i4U7

它到处都有未编码的字符,例如“t”、“v”等。

4

2 回答 2

3

您可以使用和转换每个\x12转义字符。并使用.hexdecchrpreg_replace

 print preg_replace('/[\\\\]x(\w\w)/e', 'chr(hexdec("$1"))', $script);

虽然这只是部分“解码”。不会使所有内容都清晰易读,也不会使代码处于工作状态。

于 2011-11-16T00:57:17.157 回答
1

这建立在马里奥非常酷的字符串替换之上。

  1. 将文件另存为source.phps- 大多数服务器会将其显示为 PHP 源代码并且不会执行它。(与您的本地 Web 服务器管理员核实以确保 .phps 已启用且安全)。

  2. 在同一目录中,创建一个解码器文件,我称之为 mine decode.php。内容:

<?php

$phpsource = file_get_contents('source.phps');

highlight_string(str_replace(";",";\n", preg_replace('/[\\\\]x(\w\w)/e', 'chr(hexdec("$1"))', $phpsource)));

?>

这是使代码更具可读性的基本步骤,因此您可以查看 PHP。它仍然非常难看,因为它尽可能地混淆了自己,但是现在您可以看到,代码突出显示了对脚本的各种调用base64_decode和执行。header

于 2011-11-16T01:19:41.147 回答