由于本人并不准备搭建旧版本WordPress的运行环境,于是决定从代码入手,分析这个彩蛋。
在revisions-js.php中定义的函数dvortr()作用是使用一对一的替换来加密字符串,该文件中有两次调用此函数:dvortr( “Erb-y n.y ydco dall.b aiacbv Wa ce]-irxajt- dp.u]-$-VIr XajtWzaVv” )和dvortr( ‘Eabi.p!’ )。经过解密,其输出分别为”Don’t let this happen again. <a id=’goback’ href=’$’>Go Back</a>.”和’Danger!’ 。
而定义的变量$j作用是包含jQuery库,$n是获取的当前用户名,$d是noscript时的输出。通过替换掉一些WordPress中定义的函数,我成功地使部分解码后的php文件在本地Apache服务器成功运行。并且,我还重新制作了这个彩蛋,现在它已经可以在本站以某种方式触发~
下面附上整个解密过程中所用到的文件。其中revision.php和revisions-js.php是原文件,decode.php是部分解密后的文件,decode.js是浏览器获取的匿名js文件,decoder.html是根据原文件的加密算法编写的加密、解密脚本。