解密php文件需分三步:一、termux中用php逐层解码base64+gzinflate;二、ksweb内置php环境执行decode.php脚本;三、云ide在线运行解密模板,依提示切换base64或gzinflate分支。
如果您在手机上获取到一个加密的PHP文件,但无法直接阅读其源码,则可能是该文件经过Base64编码、gzinflate压缩、eval封装或简单混淆处理。以下是可在移动端直接执行的解密操作方法:
一、使用Termux逐层解码Base64与gzinflate组合
该方法适用于常见于插件或木马中的eval(gzinflate(base64_decode(...)))结构,Termux提供完整Linux环境,可原生运行PHP命令进行解码。
1、从F-Droid安装Termux,启动后执行pkg update && pkg install php curl安装PHP解释器。
2、使用nano decrypt.php创建解密脚本,输入以下内容:
立即学习“PHP免费学习笔记(深入)”;
3、将加密文件中base64_decode(括号内的完整字符串复制,替换脚本中$b64 = "此处粘贴"引号内的内容,注意保留全部字符,包括换行与空格。
4、保存退出后执行php decrypt.php,终端将直接输出解密后的PHP源码。
5、若输出仍为Base64格式,将该结果再次粘贴进脚本重复执行,直至获得可读代码。
二、通过KSWEB内置PHP环境执行解密脚本
KSWEB作为Android端轻量Web服务器,自带PHP解析能力,无需额外配置即可运行解密逻辑,适合无命令行经验的用户。
1、在Google Play或APKMirror下载安装KSWEB最新版,启动后点击主界面Apache和PHP开关,确保状态为绿色运行中。
2、进入手机存储根目录,找到KSWEB默认Web根文件夹/sdcard/kswp/www/,在此新建decode.php文件。
3、在decode.php中写入如下代码:
4、将加密PHP文件中base64_decode(内部字符串完整复制,填入$data = "..."位置,务必不遗漏末尾单引号前的反斜杠转义字符。
5、打开手机浏览器,访问http://localhost:8080/decode.php,页面将显示原始PHP代码,请立即复制并保存,刷新会导致输出丢失。
三、利用云IDE远程解密(免安装、免配置)
当手机存储受限或无法安装应用时,可通过浏览器访问在线PHP运行环境,上传并即时执行解密逻辑,全程不依赖本地环境。
1、打开手机浏览器,访问https://replit.com/new/php,选择“PHP”模板新建空白项目。
2、点击左上角index.php文件,全选删除原有内容,粘贴以下标准解密模板:
3、从加密文件中提取最外层Base64字符串(以base64_decode(开头、紧邻右括号的引号内全部内容),替换模板中$encoded变量值。
4、点击右上角Run按钮,等待控制台输出结果;若返回Warning: gzinflate(): data error,说明未嵌套压缩,应改用纯Base64解码分支。
5、输出结果中若含<?php 标签及可读函数名,即为成功解密,长按文字选择“全选→复制”,切勿截图以免丢失符号。
