Decompile compiled python binaries (exe, elf) - Retreive from .pyc
Savet za bug bounty: registrujte se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Od Kompajliranog Binarnog Fajla do .pyc
Iz ELF kompajliranog binarnog fajla možete dobiti .pyc sa:
U python exe binarnom fajlu možete dobiti .pyc pokretanjem:
Od .pyc do python koda
Za .pyc podatke ("kompajlirani" python) trebalo bi da počnete sa pokušajem izvlačenja originalnog python koda:
Proverite da li binarni fajl ima ekstenziju ".pyc" (ako nema, uncompyle6 neće raditi)
Prilikom izvršavanja uncompyle6 mogu se pojaviti sljedeće greške:
Greška: Nepoznat broj magičnog broja 227
Da biste to popravili, treba da dodatе tačan magični broj na početku generisanog fajla.
Magični brojevi variraju sa verzijom python-a, da biste dobili magični broj za python 3.8 treba da otvorite python 3.8 terminal i izvršite:
U ovom slučaju, magični broj za python3.8 je 0x550d0d0a
, zatim, da biste ispravili ovu grešku, moraćete dodati na početak .pyc datoteke sledeće bajtove: 0x0d550a0d000000000000000000000000
Kada dodate taj magični zaglavlje, greška bi trebalo da bude ispravljena.
Ovako će izgledati ispravno dodato .pyc python3.8 magično zaglavlje:
Greška: Dekompilacija generičkih grešaka
Druge greške poput: class 'AssertionError'>; co_code should be one of the types (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); is type <class 'NoneType'>
mogu se pojaviti.
Ovo verovatno znači da nisu pravilno dodati magični brojevi ili da niste koristili ispravan magični broj, pa se uverite da koristite ispravan (ili pokušajte sa novim).
Proverite dokumentaciju prethodne greške.
Automatski alat
Alat python-exe-unpacker služi kao kombinacija nekoliko alata dostupnih zajednici, dizajniranih da pomognu istraživačima u raspakivanju i dekompilaciji izvršnih datoteka napisanih u Pythonu, posebno onih kreiranih sa py2exe i pyinstaller. Uključuje YARA pravila za identifikaciju da li je izvršna datoteka zasnovana na Pythonu i potvrđuje alat za kreiranje.
ImportError: Ime datoteke: 'unpacked/malware_3.exe/pycache/archive.cpython-35.pyc' ne postoji
Čest problem koji se javlja uključuje nepotpunu Python bajtkod datoteku koja proizilazi iz procesa raspakivanja sa unpy2exe ili pyinstxtractor, što onda nije prepoznato od strane uncompyle6 zbog nedostajućeg broja verzije Python bajtkoda. Da biste rešili ovo, dodata je opcija prepend, koja dodaje neophodan broj verzije Python bajtkoda, olakšavajući proces dekompilacije.
Primer problema:
Analiza python montaže
Ako niste uspeli da izvučete "originalni" Python kod prateći prethodne korake, možete pokušati da izvučete montažu (ali nije veoma opisna, pa pokušajte ponovo da izvučete originalni kod). U ovde sam pronašao veoma jednostavan kod za raspakivanje .pyc binarnog fajla (srećno sa razumevanjem toka koda). Ako je .pyc fajl iz Python 2, koristite Python 2:
Python u izvršnu datoteku
Da bismo počeli, pokazaćemo vam kako se payloadi mogu kompajlirati u py2exe i PyInstaller.
Za kreiranje payloada korišćenjem py2exe:
Instalirajte paket py2exe sa http://www.py2exe.org/
Za payload (u ovom slučaju, nazvaćemo ga hello.py), koristite skriptu poput one u Figuri 1. Opcija "bundle_files" sa vrednošću 1 će uključiti sve, uključujući Python interpretera, u jednu izvršnu datoteku.
Kada je skripta spremna, izdaćemo komandu "python setup.py py2exe". Ovo će kreirati izvršnu datoteku, baš kao na slici 2.
Za kreiranje payload-a korišćenjem PyInstaller-a:
Instalirajte PyInstaller korišćenjem pip-a (pip install pyinstaller).
Nakon toga, izdaćemo komandu "pyinstaller --onefile hello.py" (napomena da je 'hello.py' naš payload). Ovo će sve upakovati u jedan izvršni fajl.
Reference
Savet o nagradi za otkrivanje grešaka: Prijavite se za Intigriti, premijum platformu za otkrivanje grešaka kreiranu od strane hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Last updated