CKFinder3 破解与防破解 (转)

CKFinder3 破解与防破解

转自：http://www.petershi.net/ckfinder3-cracking-of

背景：后台开发时候频繁遇到图片选择组件，要求该组件可以选择服务器上已有的图片或者新上传一张图片，选择之后还要编辑裁切图片。

试用了下 CKFinder 功能不错，就是多个站点得 500 刀确实贵了点，试试看能不能绕过授权试试看。

下载然后本地服务器配置好之后，深深地感受到了试用版真的是很 Demo，网上流传有不少破解方法。然而这些方法对于最新版并没有什么用，因为，最新版的 js 代码已经加密。里面的 if 判断基本全是加密后的字符串。

本来事情就结束了，可是心中不服。

首先格式化 js 代码（工具），找到 function S(e){ }; 加密后的内容都是在调用这个方法解密字符串。这样子的话，貌似能试试看咯。即便是搞不定也能学个算法。

首先来个测试页面：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
    <script>
        /*
         * 原解密函数
         */
        function S(e) {
            for (var t = "", n = e.charCodeAt(0), i = 1; i < e.length; ++i) t += String.fromCharCode(e.charCodeAt(i) ^ i + n & 127);
            return t;
        }

        // 先试两个数据找下节奏
        log_info('&N[mOFC"');
        log_info(';tXRS/');


        /*记录测试数据*/
        function log_info(words) {
            console.log('----------------');
            var s = S(words);
            console.log("words: ", words, words.length);
            console.log("After S(e): ", s, s.length);
        }
    </script>
</body>

</html>

控制台输出：

words 是解密后的字符串，After S(e)是用 S 方法解密后的数据

里面有一个细节是加密后的字符串比原字符串多了一位，尝试分别删除前后一个字符看看结果：

推测除了第一位数据后面的字母是一对一的关系，删除第一位之后后面数据全乱掉，说明，第一位应该是“标志位”。

先明确下我们的目的：找到程序中判断是否购买的的判断模块，或者是判断软件是适用版本的代码，提示信息等。

现在代码被加密了，Demo 版本的提示信息显然是被加密了，要顺藤摸瓜，想想办法把提示信息找出来。代码已经写死，加密后的提示信息 通过 S 函数可以直接换还原，那么我们有没有可能推出加密算法，根据网页上显示的提示信息自己生成加密的提示信息，根据这个定位代码中哪块在判断授权。

开始正式尝试的分割线

解密算法有了，字符串结构了解了，那么接下来可以试着推一推“标志位”是怎么来的。

解密算法整理一下

function  S(e)  {

    for  (var  t  =  "",  n  =  e.charCodeAt(0),  i  =  1;  i  <  e.length;  ++i)  {

        t  +=  String.fromCharCode(e.charCodeAt(i)  ^  i  +  n  &  127);

    }

    return  t;

};

for 循环里面分别对每一个字符串进行操作，确实要解密的字符串第一个字符并没有进行转换操作，这正好解释了为什么前面发现长度差 1 位的原因

// 先拎出来第一个循环

// 涉及的变量

t=""

n=e[0];  // 标志位n : 字符串第一个字符的ASCII码对应值

i  =  1;

算法公式（A）：

t  =  fromCharCode(e[i]  ^  i  +  n  &  127);

为了有效防止蒙圈，根据运算符优先级，用括号框起来便于理解

t  =  fromCharCode(e[i]  ^  (  i  +  (  n  &  127  )  )  );

拆解：
(n & 127) 目的是保证字符在 ASCII 之内，暂时忽略细节不考虑溢出，简化成 n;
e[i] 看作是密文
设 c = String.chaCodeAt(t);

那么 c 可看作原文得到：

c = e[i] ^ ( i + n );

用人话说就是
原文 = 密文 ^ (i + “标志位”);

根据异或的特性 IF a ^ b = c THEN a ^ c = b

密文 = 原文 ^ (i + “标志位”);

进一步分析：i 在密文和原文之间，存在一对一的偏移关系，举例说:i=3, 密文[3] => 明文[3] ，因此暂且认为 (i+ “标志位”) 是个定值。
从源代码中找了两段字符，测试了下输出结果，参照下图,注意看 offset,和 offset+i，

加密字符串为 &N[mOFC" 开头字母 & 的 ASCII 值就是 38，原文就是异或了这个 offseti 的值得出 c1,原文的 ASCII 值 比如 N(78) 偏移 (39) 得到 i(105) 。

那么到此我们是有望推导出加密算法的。

显然第一个“标志位”是随机的，那么就意味着我们加密后的结果也是会非常多的。

当然好消息是要破解这个加密，找到我们想找的加密信息，不用算法也可以，因为我们已经确认了密文的结构。

比如说：密文是：This(ASCII 值：84,104,105,115)。甭管标志位怎么随机，把密文每个字符转成 ASCII 值[x1,x2,x3,x4,x5]。总有：x3-x2=104-84+1=21; x4-x3=105-104+1=2。

写个脚本穷举一下就出来了。

但是，但是，我想要加密算法。

那么就接着推吧

首先要来一个“标志位”。
ASCII 中有不少控制字符是显示不出来的，还有双引号什么的，所以不要直接和 ASCII 码死磕,把他们先撇过去，挑一些正常的。

var  charset  =  [

"!",  "#",  "$",  "%",  "&",  "'",  "(",  ")",  "*",  "+",  ",",  "-",

".",  "/",  "0",  "1",  "2",  "3",  "4",  "5",  "6",  "7",  "8",  "9",

":",  ";",  "<",  "=",  ">",  "?",  "@",  "A",  "B",  "C",  "D",  "E",

"F",  "G",  "H",  "I",  "J",  "K",  "L",  "M",  "N",  "O",  "P",  "Q",

"R",  "S",  "T",  "U",  "V",  "W",  "X",  "Y",  "Z",  "[",  "\\",  "]",

"^",  "_",  "`",  "a",  "b",  "c",  "d",  "e",  "f",  "g",  "h",  "i",

"j",  "k",  "l",  "m",  "n",  "o",  "p",  "q",  "r",  "s",  "t",  "u",

"v",  "w",  "x",  "y",  "z",  "{",  "|",  "}",  "~",

];

// 第一步先随机一个字符串

var  rand  =  Math.ceil(Math.random()  *  (0  -  charset.length  +  1)  +  charset.length  -  1);

// 接下来逆推公式

var  t  =  charset[rand];

var  n  =  t.charCodeAt(0);

for  (var  i  =  0;  i  <  e.length;  ++i)  {

var  a1  =  e.charCodeAt(i);  //把字母拿出来

var  a2  =  (i  +  1)  +  n  &  127;  // 偏移量加 1

var  b1  =  a1  ^  a2;  // a^b=c => a=b^c;

t  +=  String.fromCharCode(b1);

}

return  t;

找几个数据试试看：

        log_info_all("Hello World!");

        log_info_all("This is a demo");

结果：

然后就看到了这两句话：

好的吧。

那我就不搞了。