Savet za bug bounty: registrujte se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
Od Kompajliranog Binarnog Fajla do .pyc
Iz ELF kompajliranog binarnog fajla možete dobiti .pyc sa:
pyi-archive_viewer<binary># The list of python modules will be given here:[(0, 230, 311, 1, 'm', 'struct'),(230, 1061, 1792, 1, 'm', 'pyimod01_os_path'),(1291, 4071, 8907, 1, 'm', 'pyimod02_archive'),(5362, 5609, 13152, 1, 'm', 'pyimod03_importers'),(10971, 1473, 3468, 1, 'm', 'pyimod04_ctypes'),(12444, 816, 1372, 1, 's', 'pyiboot01_bootstrap'),(13260, 696, 1053, 1, 's', 'pyi_rth_pkgutil'),(13956, 1134, 2075, 1, 's', 'pyi_rth_multiprocessing'),(15090, 445, 672, 1, 's', 'pyi_rth_inspect'),(15535, 2514, 4421, 1, 's', 'binary_name'),...? X binary_nameto filename? /tmp/binary.pyc
U python exe binarnom fajlu možete dobiti .pyc pokretanjem:
pythonpyinstxtractor.pyexecutable.exe
Od .pyc do python koda
Za .pyc podatke ("kompajlirani" python) trebalo bi da počnete sa pokušajem izvlačenjaoriginalnogpythonkoda:
uncompyle6binary.pyc>decompiled.py
Proverite da li binarni fajl ima ekstenziju ".pyc" (ako nema, uncompyle6 neće raditi)
Prilikom izvršavanja uncompyle6 mogu se pojaviti sljedeće greške:
Da biste to popravili, treba da dodatе tačan magični broj na početku generisanog fajla.
Magični brojevi variraju sa verzijom python-a, da biste dobili magični broj za python 3.8 treba da otvorite python 3.8 terminal i izvršite:
>> import imp
>> imp.get_magic().hex()
'550d0d0a'
U ovom slučaju, magični broj za python3.8 je 0x550d0d0a, zatim, da biste ispravili ovu grešku, moraćete dodati na početak.pyc datoteke sledeće bajtove: 0x0d550a0d000000000000000000000000
Kada dodate taj magični zaglavlje, greška bi trebalo da bude ispravljena.
Ovako će izgledati ispravno dodato .pyc python3.8 magično zaglavlje:
Druge greške poput: class 'AssertionError'>; co_code should be one of the types (<class 'str'>, <class 'bytes'>, <class 'list'>, <class 'tuple'>); is type <class 'NoneType'> mogu se pojaviti.
Ovo verovatno znači da nisu pravilno dodati magični brojevi ili da niste koristiliispravan magični broj, pa se uverite da koristite ispravan (ili pokušajte sa novim).
Proverite dokumentaciju prethodne greške.
Automatski alat
Alat python-exe-unpacker služi kao kombinacija nekoliko alata dostupnih zajednici, dizajniranih da pomognu istraživačima u raspakivanju i dekompilaciji izvršnih datoteka napisanih u Pythonu, posebno onih kreiranih sa py2exe i pyinstaller. Uključuje YARA pravila za identifikaciju da li je izvršna datoteka zasnovana na Pythonu i potvrđuje alat za kreiranje.
ImportError: Ime datoteke: 'unpacked/malware_3.exe/pycache/archive.cpython-35.pyc' ne postoji
Čest problem koji se javlja uključuje nepotpunu Python bajtkod datoteku koja proizilazi iz procesa raspakivanja sa unpy2exe ili pyinstxtractor, što onda nije prepoznato od strane uncompyle6 zbog nedostajućeg broja verzije Python bajtkoda. Da biste rešili ovo, dodata je opcija prepend, koja dodaje neophodan broj verzije Python bajtkoda, olakšavajući proces dekompilacije.
Primer problema:
# Error when attempting to decompile without the prepend optiontest@test: uncompyle6 unpacked/malware_3.exe/archive.pyTraceback (most recent call last):...ImportError: File name:'unpacked/malware_3.exe/__pycache__/archive.cpython-35.pyc' doesn't exist
# Successful decompilation after using the prepend optiontest@test:python python_exe_unpack.py -p unpacked/malware_3.exe/archive[*] On Python 2.7[+] Magic bytes are already appended.# Successfully decompiled file[+] Successfully decompiled.
Analiza python montaže
Ako niste uspeli da izvučete "originalni" Python kod prateći prethodne korake, možete pokušati da izvučetemontažu (ali nije veoma opisna, pa pokušajte ponovo da izvučete originalni kod). U ovde sam pronašao veoma jednostavan kod za raspakivanje.pyc binarnog fajla (srećno sa razumevanjem toka koda). Ako je .pyc fajl iz Python 2, koristite Python 2:
>>> importdis>>> importmarshal>>> importstruct>>> importimp>>>>>> withopen('hello.pyc','r') asf:# Read the binary file...magic=f.read(4)...timestamp=f.read(4)...code=f.read()...>>>>>> # Unpack the structured content and un-marshal the code>>> magic=struct.unpack('<H',magic[:2])>>> timestamp=struct.unpack('<I',timestamp)>>> code=marshal.loads(code)>>> magic,timestamp,code((62211,), (1425911959,),<code object <module> at 0x7fd54f90d5b0, file "hello.py", line 1>)>>>>>> # Verify if the magic number corresponds with the current python version>>> struct.unpack('<H', imp.get_magic()[:2]) == magicTrue>>>>>> # Disassemble the code object>>> dis.disassemble(code)10LOAD_CONST0 (<code objecthello_worldat0x7f31b7240eb0,file"hello.py",line1>)3MAKE_FUNCTION06STORE_NAME0 (hello_world)9LOAD_CONST1 (None)12RETURN_VALUE>>>>>> # Also disassemble that const being loaded (our function)>>> dis.disassemble(code.co_consts[0])20LOAD_CONST1 ('Hello {0}')3LOAD_ATTR0 (format)6LOAD_FAST0 (name)9CALL_FUNCTION112PRINT_ITEM13PRINT_NEWLINE14LOAD_CONST0 (None)17RETURN_VALUE
Python u izvršnu datoteku
Da bismo počeli, pokazaćemo vam kako se payloadi mogu kompajlirati u py2exe i PyInstaller.
Za payload (u ovom slučaju, nazvaćemo ga hello.py), koristite skriptu poput one u Figuri 1. Opcija "bundle_files" sa vrednošću 1 će uključiti sve, uključujući Python interpretera, u jednu izvršnu datoteku.
Kada je skripta spremna, izdaćemo komandu "python setup.py py2exe". Ovo će kreirati izvršnu datoteku, baš kao na slici 2.
Savet o nagradi za otkrivanje grešaka: Prijavite se za Intigriti, premijum platformu za otkrivanje grešaka kreiranu od strane hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!
