我继续得到不好的魔法数字。我不知道这意味着什么。
这是我输入CLI的内容:
openssl enc -d -rc2-cbc -base64 -k AUvS8jou0Z9K7Bf9 -iv 6f73575664616a4f0d0a -in input.enc -out output.dec
在input.enc里面我有:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ==
背景资料:
我正在分析carberp僵尸网络恶意软件,我似乎遇到了加密数据未被解密的问题。经过大量调查后,我发现恶意软件发送了一个带有加密值的http帖子。此值为rc2加密并在base64中编码,其中IV位于帖子的末尾
这是一段摘录: 邮寄价值:
osWVmy7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQdajO==
IV是值的前4个和后4个字符(不包括==)
osWVdajO
加密邮件应为:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ
使它成为base64看起来像:
my7wR7eAbxbng06i0+kGjnMJ+QPavxa5JKG7LbMb2BLbH0hld/R1eQ==
我使用的密码(配置时)是
AUvS8jou0Z9K7Bf9
输出应为:
id=AdminPanelEchoKey020F504D0263A5D01
每当我尝试将其输入到php中的openssl_decrypt时,它返回一个空字符串(不知道为什么)。