php screw加密与破解

一、破解工具之php-screw-brute

1、项目地址

　　https://github.com/securifybv/php-screw-brute

2、项目介绍

　　此脚本可以恢复/爆破php screw使用的密钥。PHP Screw使用压缩文件的长度来确定（硬编码）密钥的起始索引。PHP Screw的工作原理是首先使用ZLIB（级别1）压缩PHP文件，然后按位取反，再与密钥进行异或。 因为ZLIB具有固定的头部并且不同文件的起始索引不同，所以可以恢复密钥的一部分， 其余字节可以爆破。 通常，你拥有的文件越多，恢复密钥的速度就越快。 当然，所有文件都必须使用相同的PHP Screw密钥进行加密。 如果你拥有的文件足够多，则可直接恢复密钥而不需要爆破。

　　下图1是php文件经过php screw加密后的一个样子，通过开头的“PM9SCREW”字符串得知使用了php screw进行加密。

图1

3、使用

　　下图2是使用方法，解密成功后，会在相同目录下生成以“.plain”为后缀的同名文件。比如待解密的文件是“index.php”，则解密成功后生成“index.php.plain”文件。

图2

　　写了一个python脚本，用于筛选解密成功的php文件。

#!/usr/bin/python
# -*- coding: UTF-8 -*-

import os
import shutil

def main():
	src = '/root/Download/demo'
	dst = src + '_backup'
	shutil.copytree(src,dst)	#备份

	for root,dirs,files in os.walk(src):
		for name in files:
			basename, ext = os.path.splitext(name)
			oldname = os.path.join(root,name)
			newname = os.path.join(root,basename)
			if ext == '.php':
				os.remove(oldname)	#删除原来的加密的PHP文件
			if ext == '.plain':
				os.rename(oldname,newname)	#重命名解密成功的文件 filename.php.plain => filename.php

	print('Good job')

if __name__ == '__main__':
	main()

二、破解工具之screw_decode

1、项目地址

　　https://github.com/firebroo/screw_decode

2、项目介绍

　　前提需要有加密之后的文件，和加密的扩展库php_screw.so 打开screwdecode.c找到PM9SCREW,PM9SCREW_LEN和pm9screw_mycryptkey，3个可能被使用者修改，需要用IDA去查找然后替换掉。 pm9screw_mycryptkey是至关重要的，拿不到就解密不了。别的两个可以暴力尝试解决,其实就是读取掉头部n个字节尝试解密。

3、安装和使用

安装：

git clone https://github.com/firebroo/screw_decode.git

make

如果以上出错，就看报错然后google,一个是依赖php-devel，一个是依赖zlibc-devel

使用：

sudo ./decode path

说明: 结果保存在同目录，文件名字为原文件名字后面追加.decode, sudo 权限保证可以有chdir和创建文件权限。

三、IDA获取加密的key

1、通过导图查找

　　首先找到php_screw.so文件，然后通过IDA分析（幸好之前跟基友要了份IDA）。加密过程是在pm9screw_ext_fopen函数中实现的，所以只需要到这个函数中去找加密部分即可。

图3

找到pm9screw_ext_fopen函数，双击，如图4所示：

图4

然后右边的窗口就会如图5所示：

图5

很明显，我标黄的就是加密密钥了，双击跳转至其指针保存处：

图6

再次双击，跟踪变量，见下图7，打码处就是密钥了。

图7

如下图8，右键，将十六进制的密钥转成十进制的，然后打开screwdecode.c，见下图9，将密钥替换掉，即可使用screw_decode解密。

图8

图9

2、通过伪代码查找

再找到目标函数之后，使用F5，查看伪代码，双击黄标也可以跳转到之前找到的位置。

图10

四、php-screw加密文件

1、项目地址

　　https://sourceforge.net/projects/php-screw/　　或者

　　https://github.com/Luavis/php-screw

2、使用

(1)我是在kali-rolling上测试的，提示没有phpize这个命令。

apt-get install php-dev

(2)然后解压

tar –zxvf php_screw-1.5.tar.gz

图9

(3) 编译PHP扩展的工具，主要是根据系统信息生成对应的configure文件

Phpize

./configure

图10

图11

(4)编辑my_screw.h修改pm9screw_mycryptkey密钥的值

如图12是默认值。

图12

(5)此外我们可以编辑php_screw.h修改PM9SCREW 和 PM9SCREW_LEN的值，注意PM9SCREW_LEN的值要小于等于PM9SCREW的长度。如图13是其默认值。

图13

(5)进行编译

如图14编译时出错了，在php_screw的目录下以下命令执行即可解决，最后编译成功。

sed -i "s/CG(extended_info) = 1;/CG(compiler_options) |= ZEND_COMPILE_EXTENDED_INFO;/g" php_screw.c

图14

(6)将编译好的php_screw.so拷贝到php扩展库目录。

通过phpinfo()页面查找extension-dir关键字

图16

将编译好的php_screw.so拷贝到php扩展目录。

cp modules/php_screw.so /usr/lib/php/20151012/php_screw.so

(7)编辑php.ini添加以下一行代码

extension=php_screw.so

(8)重启http服务器

Service apache2 restart

(9)编译加密工具

cd tools

make

编译完成后生成screw可执行文件。

图17

(10)尝试加密一个php文件

我们写一个phpinfo.php文件内容是<?php phpinfo();?>

然后执行./screw phpinfo.php加密文件，见下图18。

图18

(11)将加密好的文件拷贝到web目录

cp phpinfo.php /var/www/html/phpinfo.php

图19

(12)批量加密php文件

find /data/php/source -name “*.php” -print|xargs -n1 screw //加密所有的.php文件

五、参考：

php_screw的加密和解密探究（二）解密算法与Python实现：

https://www.skactor.tk/2018/03/26/php-screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%BA%8C%EF%BC%89%E8%A7%A3%E5%AF%86%E7%AE%97%E6%B3%95%E4%B8%8Epython%E5%AE%9E%E7%8E%B0/

php_screw的加密和解密探究（一）编译Screw扩展并测试：

https://www.skactor.tk/2018/03/25/php_screw%E7%9A%84%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%8E%A2%E7%A9%B6%EF%BC%88%E4%B8%80%EF%BC%89%E7%BC%96%E8%AF%91Screw%E6%89%A9%E5%B1%95%E5%B9%B6%E6%B5%8B%E8%AF%95/

用 phpize 编译共享 PECL 扩展库：

https://www.php.net/manual/zh/install.pecl.phpize.php

转载请注明出处。