一.php opcodes的由来(如果你只想知道如何解php opcodes就直接跳过这步)
1.PHP内核-Zend引擎的详解:https://www.php.cn/php-weizijiaocheng-355597.html
2.VLD扩展使用指南(VLD介绍):http://www.phppan.com/2011/05/vld-extension/
二.php opcodes对照解码表(php官网的,反应速度有点慢)
https://www.php.net/manual/en/internals2.opcodes.echo.php
三.步骤讲解
1.观察获取关键信息(文件名),操作数
2.解出php源码每行原内容
3.拼凑源码,提炼出跳转等操作
4.分析出最终源码
四. 实际演练
这里根据一道i春秋上的题进行实战讲解如何反编译php opcodes
原题链接:https://www.ichunqiu.com/battalion(挑战名称:vld)
根据信息我们会得到php opcodes
①反编译的第一步是读懂他的op栏中的所有op代表什么(因为php官网速度不怎么行在中国,所以可以先收集op资料再翻译)
EXT_STMT:基本上每个php opcodes都有EXT_STMT和RETURN两个op,可以暂时不用管,因为他们没有任何指向
echo的op就是ECHO,后面operands跟代码段的输出字符串
BEGIN_SILENCE的意思好像是索引变量的意思,和END_SILENCE相对应。没有实际解码翻译,可以不用管
FETCH_R的意思就是变量指向变量的操作,这里的实例就是将变量!1指向给$2,让$2相当于$!1(也就是$$a)
FETCH_DIM_R是数组变量指向特定变量的作用,这里就是让$3=$a[0],operands的前面是数组变量名后面是位置值
ASSIGN是分配变量的意思,如第一步就是将1分配给$a,第二步就是将’a’分配给$a;第六步就是将$3分配给$a;
IS_EQUAL的意思是判断是否相等,是弱等于比较,return中是返回值储存位置,operands中的两个值分别为比较的左右
JMPZ的意思是if操作,operands的左边对应的是if里面的步骤(例如这里的~0为$a!=0则JMPZ代表的if中的判断则是~0,$a!=0),右边对应的是该进行第几步,这里就是如果if里面的判断为假($a等于0),则跳转到第四步(#4)
JMP的意思直接就是跳转,operands里面就是#步骤
NOP没有操作
②先解释下php opcodes各段分别是什么意思
- Branch analysis from position 这条信息多在分析数组时使用。
- Return found 是否返回,这个基本上有都有。
- filename 分析的文件名
- function name 函数名,针对每个函数VLD都会生成一段如上的独立的信息,这里显示当前函数的名称
- number of ops 生成的操作数
- compiled vars 编译期间的变量,这些变量是在PHP5后添加的,它是一个缓存优化。这样的变量在PHP源码中以IS_CV标记
- op list 生成的中间代码的变量列表
line: 在源码中的行号
#: opcode 编号(每个php的php opcodes从0开始记录操作不揍)
op: 操作名称
fetch: 该操作的变量位置(全局或则本地)
ext: 与该opcode关联的额外数据,如跳转的目标opcode
return: 返回值存储的问题
operands:操作
③分析实例:
第一行和最后一行php代码分别为<?php和?>,不进行opcodes操作,其中每行末尾的;也是去掉了的
该段op的意思是,位于源码第二行,操作只有一个,输出’do+you+know+Vulcan+Logic+Dumper%3F%3Cbr%3E’
#4是将_GET给了$1,意思是接下来用$1表示_GET
#5则是将$1的数组位置设置成了flag1的值,用$2表示,相当于$2=$1[flag1]=$_GET[flag1]
#6则是将赋值,将$2给了!0,而!0=$a,所以这里的第三行php代码是$a=$_GET[flag1]
第四行有6步操作,第1步不解释(上面的op对照表的解释有),然后第2和5不解释,看第3步,是代替指向,将$5代替_GET,第4步则是数组指向赋值,先将$5数组的位置指向flag2的值,形成$5[flag2](也就是$_GET[flag2]),然让$6等于这个值($5[flag2]),第6步则是赋值,将$6赋值给!1($b)
所以第四行解释成php代码则是
$b=$_GET[flag2]
第五行有六步操作去掉第一步,第二步,第五步,分析剩下的三步,第三步是让$9代替$_GET(这个挑战里面的fetch一直是global,也就是全局指向,意思是整个php opcodes中$9都是$_GET的意思)第四步是先对数组$9指向为flag3然后将这个值给$10,形成$10=$9[flag3];第六步则是将$10的值赋值给!2($c),所以第四行php代码解释为$c=$_GET[flag3]
第六行则是进行了三步操作,去掉第一步,分析第二步,第二步是比较,判断!0是否等于fvhjjihfcv,如果不等于则调转到#38步操作,这里是一个连串的if结构,所以暂时没有翻译
第七行源码是判断!1是否等于gfuyiyhioyf,如果不等于就跳转到#35操作
第八行源码是判断!2是否等于yugoiiyhi,如果不等于就跳转到#32操作
第九行php源码是输出the+next+step+is+xxx.zip
第十行源码是跳转到#34
第十一行源码是输出'false%3Cbr%3E’(这里的第一步是#32接的是第八行源码)
这里没有第十二行,所以猜测第十二行应该是 } 或则回车
第十三行是跳转到#37
第十四行是输出false%3Cbr%3E
第十五行也没有
第十六行是跳转到#40
第十七行是输出false%3Cbr%3E
第十八行没有
十九行是NOP
然后第二十,二十一都没有,应该都是 }或则回车
第22行是输出%3C%21--+index.php.txt+%3F%3E%0D%0A%0D%0A
然后结束
现在来初步整理一下
1 <?Php
2 echo ‘do+you+know+Vulcan+Logic+Dumper%3F%3Cbr%3E’
3 $a=$_GET[flag1]
4 $b=$_GET[flag2]
5 $c=$_GET[flag3]
6 判断!0是否等于fvhjjihfcv,如果不等于则调转到第十七行
7 判断!1是否等于gfuyiyhioyf,如果不等于就跳转到第十四行
8 判断!2是否等于yugoiiyhi,如果不等于就跳转到第十一行
9 echo ‘the+next+step+is+xxx.zip’
10 跳转到第13行
11 echo ‘false%3Cbr%3E’
12 }
13 跳转到第16行
14 echo ‘false%3Cbr%3E’
15 }
16 跳转到第19行
17 echo ‘false%3Cbr%3E’
18 }
19 NOP
20 }
21 }
22 echo ‘%3C%21--+index.php.txt+%3F%3E%0D%0A%0D%0A’
23 ?>
主要的分析已经结束了,主要的就剩下解析那些if跳转了。
这里的就只有if,单独拉出来理一理就清晰了:
6 if($a=fvhjjihfcv){ 不等于则调转到第十七行
7 if($b=gfuyiyhioyf){ 不等于则调转到第十四行
8 if($c=yugoiiyhi){ 不等于则调转到第十一行
9 echo ‘the+next+step+is+xxx.zip’;
10 跳转第13行
11 echo ‘false%3Cbr%3E’
12 }
13 跳转到第16行
14 echo ‘false%3Cbr%3E’
15 }
16 跳转到第19行
17 echo ‘false%3Cbr%3E’
18 }
19 结束
意思是如果进行输出the+next+step+is+xxx.zip后就会直接进行NOP,也就结束了,所以完全梳理开形成php的if结构
if($a=fvhjjihfcv){
if($b=gfuyiyhioyf){
if($c=yugoiiyhi){
echo ‘the+next+step+is+xxx.zip’;
}else echo ‘false%3Cbr%3E’;
}else echo ‘false%3Cbr%3E’;
}else echo ‘false%3Cbr%3E’;
最后将所有的php代码翻译到一起形成完整的php代码
你可以试着翻译一下,看和我的是否相同,我相信,大体意思差不多,if的结构你可能有自己的想法。