又一个加密PHP脚本的解码方法

Junxiao Shi

2009-08-23

三个星期以前我发布了一篇文章，介绍了base64加密的PHP脚本的解码方法。前几天，飞信好友行者又扔来了一段更加复杂、诡异的PHP脚本：

//0.php
<?php
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=26408;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('JE9PME9PMDAwMD0kT09PMDAwMDAwezE3fS4kT09PMDAwMDAwezEyfS4kT09PMDAwMDAwezE4fS4kT09PMDAwMDAwezV9LiRPT08wMDAwMDB7MTl9O2lmKCEwKSRPMDAwTzBPMDA9JE9PME9PMDAwMCgkT09PME8wTzAwLCdyYicpOyRPTzBPTzAwME89JE9PTzAwMDAwMHsxN30uJE9PTzAwMDAwMHsyMH0uJE9PTzAwMDAwMHs1fS4kT09PMDAwMDAwezl9LiRPT08wMDAwMDB7MTZ9OyRPTzBPTzAwTzA9JE9PTzAwMDAwMHsxNH0uJE9PTzAwMDAwMHswfS4kT09PMDAwMDAwezIwfS4kT09PMDAwMDAwezB9LiRPT08wMDAwMDB7MjB9OyRPTzBPTzAwME8oJE8wMDBPME8wMCwxMTgyKTskT08wME8wME8wPSgkT09PMDAwME8wKCRPTzBPTzAwTzAoJE9PME9PMDAwTygkTzAwME8wTzAwLDkwOCksJ0kvTU5LQUNkVlJHUXlEV1VncTY4d3BrYXpMTzVsdG5tVEIrMGJ2OXVIcnhGN1hTWTFFM2ZaaGlqYzRlMm9Kc1A9JywnQUJDREVGR0hJSktMTU5PUFFSU1RVVldYWVphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5ejAxMjM0NTY3ODkrLycpKSk7ZXZhbCgkT08wME8wME8wKTs=')));return;?>
tiBr5CwHGMBrljDvtMTb6AqwwAJ8qpRkqpRmpbA6wh7uwZp6pbp6aZ4/8wwua6brR+zHVkp3LktrGMlHGMcxaMcrUiqHzkvSzk4lQ9DY56voGMBlQ+rlaMcrUiBFyuDH5jplQ9DY56voGMBlQ+rlaMcrUiEYziA7OCJftMbuQMqVpAqgahDAwvLAwvJkgpR8k3t8qpRkqpRm8bADq6ttG6brmd1HGCvflipZGMqmwZp6pbp6k3tVpAqgaZBUwhgua6brR+zHVkp3LktrGMlHGMcxaMcrUiqHzkvSzk4lQ9DY56voGMBlQ+rlaMcrUiBFyuDH5jplQ9DY56voGMBlQ+rlaMcrUiEYziA7OCJftMbuQMqmwZp6pbp6k3tVpAqgaZBUwhgua6brG6vbOkwHRomF3Fu81JU31P7TLCBBOk4B5+405iZTOC73liBYt6405iij1o2GHe3EYFazEsYGStUNH2r75iDB5CBYlj6BH2UyZUG4S7Q3EsY/x7shwpC0S0gED8V1DMlrW3qU8fI18fI18fIJljq3ajRvlCEBziwHRhJmqbvyqpJmR31+R3VSRKJU8f/UyKo1yMc+R3V7GMqU8Zo1yNI18fIHRKJUyKJUyN/UyMTb8Zo18Zo1yN/UGMqUyNI18f/UyNI7RKJUyN/UyNI1yMb7RZbY8w4QgwDbpvRdwavKphpul8zctj/Fzary8fp7tC4XpKVFyCRiWapVluBCDhB8k8AAyiLOOCvxzfqvy9JGlhIJR31ugwRNqKpCqZBR6bXy8w4UwAA6whqppvtzkprBz9DbLkLuOCvxOiEX59J1laRftdpitjB4n0IEy0yZD8zjWNbFQ3lrG6brWiL05CJfL6Tb8fI1yKo18fI1G8Xvt9A7GMqU8fI18fI18fIrW1==Ngr3LaAhOaRvGMlSQ+J05CAfl3J05i4SLkDZQu/HlMlrW1ZGOk405dpbL6TuQ+cYziEBljyYLCRmljA7Qu/HlMlrW1ZGOk405dpbL6TuQ+cYziEBljyY（后面还有大量数据，省略）

其中，在?>后面的数据足有27KB（共27316字节）。显然，这些数据并不是直接输出给客户端的，而要在服务端经过一定的处理。这27KB的数据看起来很像base64编码，但是直接用base64_decode解码得不到任何有意义的结果。

仔细观察，在前面的PHP代码部分有一个eval。那就按照上一篇文章的办法，把它改成echo试试！

(read more)

base64加密PHP脚本的解码方法

Junxiao Shi

2009-08-02

PHP是网站服务端最流行的编程语言之一。PHP运行环境本身是开源的，服务器不加载插件时PHP脚本也无法加密。但是，总有人因为商业上的考虑，而将PHP程序通过各种方法进行混淆，使读者很难看到清晰易懂的代码。

然而，PHP运行环境的本质决定了，被混淆、编码的PHP脚本总是有办法恢复成可读的代码的。本文介绍了一种对含有LAVE和base64_decode的、被加密的PHP的解码方法。

在使用这种方法之前，你应该准备好：

能运行PHP的Web服务器，例如 Apache 或 IIS
wget.exe命令行客户端或浏览器
具备PHP语法高亮功能的文本编辑器，例如 Notepad2

下载每一步的源代码

(read more)

Web应用的评测清单

Junxiao Shi

2009-04-28

有人说，只需24小时你就可以完成一个网站，并且开始做生意。建立Web站点已经变得像搭积木一样简单：在WordPress、Discuz、UCenter Home、ShopEx等常用建站程序选择一个(或者多个)，能让你在3分钟之内创建一个可以运行的Web站点；然后，你可以用剩下的23小时57分钟安装插件、修改模板、发布内容，实现更丰富的功能。

不过，这些“积木”并不一定能满足你的目的。很多情况下，你需要自己(或者请人)开发一块新的“积木”——编写网站程序。至少，你也得对某些“积木”进行一定的修改和扩充，来满足你网站的特殊需求。

当你的网站并不完全由常用建站程序组成时，Web站点的质量就是一个必须关注的问题了。

Web站点的质量包括哪些方面？

我认为，制作一个网站，必须关注的质量问题，至少包括下面这些：

(read more)

我的Web开发学习之路

Junxiao Shi

2009-03-22

最近有人问我，如何开始学习Web开发？在此，我想对自己学习Web开发的历程作一个回顾。

网页制作 vs Web开发

实际上，很多人提出的问题并不是“如何开始学习Web开发”，而是：

怎么做网站？
网页制作的方法
建立网页的流程
我会PHP和Dreamweaver，还要学什么？
寻网页制作程序编程高手

现在，我坚持使用Web开发这个词，而不是网页制作、网站建设这些说法。我认为，“网站”只是Web开发的一部分；学习了这么多开发技能，仅仅用于制作“网站”或“网页”，就是大大的浪费。

(read more)

GAppProxy架构及协议分析

Junxiao Shi

2009-02-23

GAppProxy是一款基于Google App Engine的HTTP代理服务器，GAppProxy的作者是dugang。

GAppProxy是用Python语言编写的，包含客户端、fetch服务器、负载平衡器三个模块。

精巧型代理服务器hProxyN的20090223版本加入了GAppProxy插件。 GAppProxy插件使hProxyN可以通过GAppProxy协议转发请求。

GAppProxy模块组成

客户端

(read more)

不写错别字是一种态度

Junxiao Shi

2009-01-15

阳光男孩倡议：

在文字交流中（包括文章、作业、帖子、邮件、短信），请使用规范语言，避免错别字、病句。

发送含有错别字的文字内容，是不负责任的做法，是对收件人的不尊重。

(read more)

用yate2实现软VoIP语音通话(SIP协议)

Junxiao Shi

2009-01-08

2009年1月7日，工业与信息化部发放了三张3G牌照，标志着中国进入了通信技术的新时代。3G的重要特性之一是高速数据链路，移动上网速度大大提高。同时，中国移动也大幅下调了2G网络GPRS上网的资费。可是，语音通话费用仍然按兵不动。作为永远处于弱势的用户，我们却可以通过VoIP网络电话自己实现免费语音通话。

网络电话是下一代网络(NGN)的重要应用之一。“下一代网络”是指10年以后的网络，全部基于软交换(Softswitch)技术。但是，拨打VoIP免费网络电话，并不需要再等待10年。基于现有的TCP/IP网络，我们已经可以使用开源的VoIP软件，实现PC-to-PC的免费语音通话。（注：这里的“免费”，是指不需要支付传统语音通话费用，ADSL/FTTB/3G等上网接入仍然是需要费用的）

下面，我将介绍如何用yate2软件搭建VoIP服务器，并用SIP协议完成语音通话。在我的实例中，使用了局域网内的3台PC，Windows操作系统，接在同一个集线器上，并不是广域网或3G接入。

yate2建立VoIP服务器

Yate = Yet Another Telephony Engine，是一款开源的VoIP网络电话软件。它可以作为服务器、也可以作为客户端使用。yate2可以在Linux下运行、也可以在Windows下运行。yate2下载地址

(read more)

无闪烁、SEO友好的完美图像替换（pFIR_improved）

Junxiao Shi

2009-01-05

图像替换是网站前端设计中经常使用的技巧之一。本文在pFIR图像替换技术的基础上，提出了一个改进版本。

什么是图像替换（FIR）？

考虑这样一种情况：<h4>Image Replacement</h4>，效果：

Image Replacement

现在希望用一张图片替换掉文字内容，使得网页更加丰富多彩（很多情况下是为了表现出特殊字体效果）。做到这种效果：

(read more)

用JavaScript检测浏览器是否打开图像显示

Junxiao Shi

2009-01-02

JavaScript能不能检测浏览器是否打开图像显示？看似一个非常简单的问题，但是网上却很难查到相关资料。大部分用户不会关闭图像显示，但是仍有少数非宽带用户关掉了图像。为了使网站变得更加人性化、具有更好的可用性，Web前端工程师有时需要通过JavaScript检测“显示图像”功能是否打开。

方法一：图像尺寸法

未指定width、height属性的<img>标签，在图片成功下载的情况下能从width、height属性中取得图片的真实尺寸，而图片功能未开启时则是一个固定的、比较小的尺寸(相当于那个“红叉”)。为此，可以插入一张尺寸较大的图片，然后读取width属性，如果尺寸与原图不符说明图片显示没有开启。

<!-- 插入Google的logo，图片宽度应为168px -->
<img id="__ImageSupport" src="http://www.google.cn/images/nav_logo4.png"
  style="position:absolute;visibility:hidden;z-index:-1;" alt=""/>
<script type="text/javascript">//<![CDATA[
function ImageSupport() {
  var m=document.getElementById('__ImageSupport');
  if (m && m.width > 100) return true;
  else return false;
}
//]]></script>

演示：图像尺寸法检测浏览器是否打开图像显示

(read more)

How to specify server IP in HttpWebRequest

Junxiao Shi

2009-01-01

I was writing an HTTP proxy during last weeks. I need to address the origin server with a custom IP address, but I should keep the "Host" header.

I googled about "HttpWebRequest set server IP", "WebRequest modify Host", etc. I read through several posts, and realized:

When HttpWebRequest is created, the "Host" header is automatically set to the "host:port" portion of the Uri.
Attempt to modify HttpWebRequest.Headers["Host"] will throw an exception.
The server IP address of the HTTP Request is determined by the host portion of the Uri, and is automatically resolved against the DNS server.
When HttpWebRequest.Proxy is set to use a proxy, the server IP address is determined by resolving the host of Proxy property. I can set the origin server as the proxy, this is called "Proxy hack".
When using a proxy, the HTTP Request-Line looks like "GET http://host/ HTTP/1.1" rather than "GET / HTTP/1.1". Every HTTP/1.1 compliant origin server should accept this, but firewalls may think it's a "proxy request" and block it, and some non-compliant servers does not accept it.

SOLUTION

My purpose is: make HttpWebRequest send its request to a custom IP address, but leave the Request-Line as "GET / HTTP/1.1".

(read more)