简单的shell解密


不要问我为什么哭,问就是52里的大佬太多了。
今天看到个帖子
求助篇关于shell之解密的方法
https://www.52pojie.cn/thread-1029660-1-1.html
(出处: 吾爱破解论坛)
因为我之前简单学过几种解密方式就想去赚个币币
由于在上班所以就没及时帮他解
然后我休闲的空闲帮他解出来后竟然发现有人先发了,你说气不气
我就差一点点就能升级用户组了。。。。。。
所以我打算忍痛来发个教程混点积分升级用户组(千万不要让管理知道emmm...),也为了记录下过程防止以后忘记。
1.查看原始文件
  是的,我没有原始文件,我搬运了楼主的图
  


  大多数这种格式的文件都是用gzexe压缩过的(没记错的话是这样)
  正常来说我们直接将乱码部分复制出来新建个文件就可以了,可以使用tail -n +38 file.sh > /tmp/1.gz
  +38 是指跳过的行号一般就是乱码的哪一行减一,具体看上面的明文代码分析
  本来图片上的第三行的skip = 38+2 指的就是跳过的行数,但是由于明文代码做了别的处理所以我们不能已这个为准
  但也不是说一定按乱码为准(万一给你故意加几行乱码呢对吧)
  得到新文件后可以看下数据格式是什么(这个我不怎么懂)
  反正有可能是个直接是个二进制可执行文件
  也可能是个压缩包等等。。
(目前就遇到过这两种情况,是的,我很捞)
2.如果是压缩包
  解压(感觉是废话).一般解压出来还是个sh代码文件。然后重复上一步。直到不能解压。
  这时又有两种可能
    1.sh可执行文件(明文)
      哪就完成了
    2.是个二进制可执行文件
      请看第三部
3.二进制可执行文件
  对于二进制可执行文件这个说法我不知道对不对啊反正文件就是乱码
  


  直接运行文件,我的文件名是11,所以直接执行
  ./11
  然后会有一大堆进度条。然后进入到主程序
  


  使用Ctrl+z挂起它
  再使用ps -ef查看进程
  


  可以看到运行的是当前目录的script.sh文件  
  ls 查看下当前目录
  


  发现没有这个文件(当然没有这个文件了,一般这种脚本的第一行代码就是删除自身)
  所以我们修改文件权限禁止它删除,是的就是这么暴力
  执行chattr +a ./
  然后重新使用./11运行程序
  然后会有一大堆进度条。然后进入到主程序
  然后退出或者挂起
  再使用ls 查看目录
  


  找到了
4.打开看看
  真的是真实文件,你说巧不巧
  真的一进来就删除自身,你说巧不巧
  它把自己存在/data目录,而我刚刚就在/data目录运行的它,你说巧不巧,巧不巧(我真的是天选之子)
  


5.其他
  1.由于删除使用的是rm命令,所以我们可以将rm命令备份,然后将cp命令复制一份改名成rm,或者自己随变写一个脚本替换(是的还是这么暴力)
  2.之前有遇到过一种运行后才去通过网络下载主程序的代码,可以运行时将它挂起然后还是通过ps查看进程,一般会有wget的调用,我们可以直接将地址复制出来,自己下载
6.附件
  

11.zip

(3.98 KB, 下载次数: 0)

2019-9-26 17:03 上传
点击文件名下载附件

下载积分: 吾爱币 -1 CB

  是的,还是没有密码,我还是不知道mac怎么压缩时设置密码
  

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称