最近着手面板一把梭,在分析小皮的时候比较耗费时间,简单记录一下
小皮面板安装目录/usr/local/phpstudy/
在这个目录下只能找到一个安装结果信息install.result,找不到其他数据
分析源码发现,不论是何请求,它都要发送到127.0.0.1:8090去处理
使用的是这个程序,发现depends目录的时间一直变化,进入后发现是libc.so.1.0.1的时间一直在变
通过分析发现,这个文件并不是一个linux共享库,明显是一个加密文件
分析phpstudy,有upx加固,直接脱upx.exe -d phpstudy
能够找到加载了这个文件,并且使用了sqlite相关的函数,并在这里得到密码php8090
然而这个密码无论使用什么软件和参数都无法打开,看到有一个libsqlcipher依赖,分析这个依赖,同样是upx加固,脱掉即可
在这个依赖中发现密码被替换,最后的密码为xp9080
使用SQLite Studio或DB Browser for SQLite可以打开,参数是SQLCipher4的默认参数
