php源代码解密还原需先识别加密类型(如base64、gzinflate、异或等),再通过分析eval入口、在线工具辅助、静态重写解密函数、xdebug动态调试或绕过授权校验五种方法逐步还原明文。
如果您获取到一段经过加密处理的PHP源代码,但需要还原其原始内容,则可能是由于代码被混淆器或自定义加密函数处理过。以下是几种常见的PHP源代码解密还原方法:
一、识别加密类型并匹配解密逻辑
PHP源代码加密通常采用base64编码、异或运算、字符串替换、eval动态执行等方式,部分商业混淆器还会嵌入自定义解密函数。还原前必须先分析代码结构,定位解密入口点和密钥位置。
1、打开加密后的PHP文件,查找以eval(、assert(、create_function(开头的执行语句。
2、追踪该语句中调用的变量或函数,例如$x=@file_get_contents(__FILE__);或str_rot13(等特征函数。
立即学习“PHP免费学习笔记(深入)”;
3、将关键表达式单独提取,在测试环境中用echo或var_dump输出中间结果,确认是否为base64_decode、gzinflate、strtr等标准解密操作。
4、若发现类似$s=base64_decode($s); $s=gzinflate($s);链式调用,按逆序反向执行即可还原明文。
二、使用在线解密工具辅助分析
部分轻量级混淆(如Base64+gzinflate嵌套)可通过可信在线工具快速展开,但需注意不上传含敏感逻辑或数据库凭证的代码片段。
1、访问支持PHP混淆还原的网站,例如https://www.tools4noobs.com/online_php_functions/。
2、将加密代码中eval(括号内的字符串内容复制粘贴至输入框。
3、选择对应解密函数,如base64_decode、gzinflate、str_rot13等,逐层点击执行。
4、观察输出是否为可读PHP代码;若仍为乱码,尝试切换字符编码为UTF-8或ISO-8859-1重新解析。
三、静态反混淆:重写解密函数并本地执行
当加密逻辑封装在闭包或类方法中时,无法直接调用原函数,需手动提取核心算法并在独立脚本中复现解密流程。
1、从加密文件中定位解密函数定义,例如function de($s){return base64_decode(strrev($s));}。
2、新建一个decrypt.php文件,仅保留该函数定义及必要依赖,删除所有eval、exit、die等干扰语句。
3、在文件末尾添加测试调用:echo de('your_encrypted_string');。
4、通过命令行执行:php decrypt.php,查看输出结果是否为原始PHP源码。
四、动态调试:利用Xdebug捕获运行时解密结果
对于使用eval动态拼接并执行代码的场景,可在解密完成、执行前一刻中断程序,提取未执行的明文字符串。
1、在目标PHP文件开头启用Xdebug:xdebug_break();,或在IDE中设置断点于eval(语句前一行。
2、确保Xdebug配置中xdebug.mode=debug且xdebug.start_with_request=trigger已启用。
3、通过浏览器访问该PHP文件,并在调试器中查看变量值,定位存放解密后代码的变量名(如$code、$payload)。
4、右键该变量选择“复制值”或在控制台输入print_r($code);,获得原始PHP源代码。
五、绕过授权检测强制输出明文
某些加密脚本会在解密后插入校验逻辑(如域名白名单、时间戳验证),导致即使解密成功也无法显示真实代码。此时需临时屏蔽校验环节。
1、搜索加密文件中包含if(、!defined(、strpos($_SERVER['HTTP_HOST']等关键词的条件判断块。
2、将整个if语句替换为if(false),或在其前添加return;提前退出。
3、找到最终调用eval(的那行,将其改为file_put_contents('decrypted.php', $decoded_code); echo "Saved."; exit;。
4、运行该文件,检查生成的decrypted.php是否包含完整、未加密的原始PHP源代码。
