答案:可通过静态分析与动态调试还原PHAR加密PHP文件。一、静态分析:利用phar://协议或解压工具提取stub及元数据,查找eval(base64_decode)等模式,逐层逆向解码;二、动态调试:启用Xdebug,在解密函数return处设断点,捕获运行时明文代码。
如果您获取到一个经过PHAR加密的PHP文件,但无法直接查看其源代码,则可能是使用了自定义加密函数或第三方PHAR打包工具对文件内容进行了混淆与加密。以下是还原该类加密PHP文件的几种可行方法:
一、静态分析加密逻辑并手动逆向
该方法适用于加密逻辑未完全隐藏在运行时环境、且加密函数体保留在PHAR归档内部(如stub或metadata中)的情况。通过提取PHAR结构并检查其中的PHP代码片段,可识别出密钥、异或偏移、Base64嵌套层级等关键参数。
1、使用phar://协议或Phar::loadPhar()加载目标PHAR文件,并调用getStub()和getMetadata()方法提取引导代码与元数据。
2、将PHAR文件后缀改为.zip,用解压缩工具打开,定位到核心PHP文件(通常为index.php或loader.php),查看是否存在eval(base64_decode(...))、gzinflate(str_rot13(...))等典型加密载荷模式。
立即学习“PHP免费学习笔记(深入)”;
3、复制加密字符串,在本地新建PHP脚本中逐层还原:先执行str_rot13,再base64_decode,接着gzuncompress或openssl_decrypt,直至输出可读PHP源码。
4、若发现AES或RC4等标准算法调用,需从代码中提取$key、$iv变量值;特别注意:密钥常以十六进制字符串、时间戳哈希或硬编码数组形式出现,不可忽略注释块中的隐藏线索。
二、动态调试运行时解密过程
该方法适用于加密逻辑依赖运行时上下文(如$_SERVER变量、函数返回值、外部配置文件)而静态分析无法完整复现的情形。通过拦截PHP执行流程,在解密函数返回前捕获明文内容。
1、启用Xdebug扩展,并在PHP配置中设置xdebug.mode=debug与xdebug.start_with_request=yes。
2、在Web服务器中配置路由,使请求经由PHAR文件入口(如http://localhost/test.phar),并在浏览器中访问触发执行。
3、在疑似解密函数(如decrypt_data()、run()、load())的return语句前下断点,观察返回值是否为原始PHP代码字符串。
4、当断点命中后,使用IDE变量查看器或xdebug_get_function_stack()确认当前作用域,重点检查返回值是否包含php标签及完整语法结构,该字符串即为已解密的原始内容。
三、使用开源PHAR解包与反混淆工具
该方法适用于加密方式为常见混淆框架(如ionCube、SourceGuardian模拟实现、或自研轻量级混淆器)所生成的PHAR文件。部分工具支持自动识别并剥离多层编码封装。
1、下载并安装phpggc配套的phar-unpacker工具,或使用phar-reverse项目中的extract_phar.py脚本。
2、执行命令python3 extract_phar.py target.phar --output-dir ./decrypted/,完成基础结构解包。
3、进入./decrypted/src/目录,对每个PHP文件运行php -r "echo file_get_contents('file.php');",观察是否仍含加密载荷。
4、若存在eval(gzuncompress(base64_decode(...)))结构,使用php -r "echo gzuncompress(base64_decode(file_get_contents('file.php')));"直接输出明文;注意:部分工具会自动跳过stub校验,需手动补全缺失的。
四、替换PHAR流包装器劫持文件读取
该方法适用于加密逻辑位于PHAR流包装器内部(如重写了stream_open或stream_read),且原始字节在内存中短暂存在未加密状态的情形。通过注册自定义流包装器,截获解密后的原始字节流。
1、编写PHP脚本,调用stream_wrapper_register("phar-decrypt", "PharDecryptWrapper"),其中PharDecryptWrapper继承自StreamWrapper并重写stream_open与stream_read方法。
2、在stream_read方法中,调用父类原生读取后,立即对返回的缓冲区内容进行file_put_contents写入临时文件。
3、将原PHAR路径前缀由phar://替换为phar-decrypt://,例如include 'phar-decrypt:///path/to/app.phar/index.php';。
4、执行脚本后检查临时目录中生成的文件,若内容以。
五、利用PHP内置反射机制提取闭包内变量
该方法适用于加密逻辑被封装在匿名函数或Closure对象中,且密钥或解密后代码以变量形式存在于闭包作用域的情形。通过反射可绕过作用域限制读取私有绑定变量。
1、使用Phar::interceptFileFuncs(true)确保PHAR内文件操作被正确路由。
2、调用new Phar('target.phar')加载对象后,执行getMetadata()或遍历getIterator()查找含Closure字样的文件名或内容。
3、若发现类似$loader = function() use ($key, $data) { ... };结构,通过ReflectionFunction获取该闭包实例,再调用getStaticVariables()提取$data值。
4、对提取出的$data执行对应解密操作(如openssl_decrypt($data, 'AES-128-CBC', $key, OPENSSL_RAW_DATA, $iv));务必验证$iv是否来自同一闭包作用域,否则解密将失败并返回空字符串。
