网站 › 『脱壳破解区』 › 简单的shell解密

15774211127 发表于 2019-9-26 17:04

简单的shell解密

本帖最后由 15774211127 于 2019-9-27 09:51 编辑

:'(weeqw:'(weeqw:'(weeqw
不要问我为什么哭，问就是52里的大佬太多了。
今天看到个帖子
求助篇关于shell之解密的方法
https://www.52pojie.cn/thread-1029660-1-1.html
(出处: 吾爱破解论坛)
因为我之前简单学过几种解密方式就想去赚个币币
由于在上班所以就没及时帮他解
然后我休闲的空闲帮他解出来后竟然发现有人先发了,你说气不气:wwqwq
我就差一点点就能升级用户组了。。。。。。
所以我打算忍痛来发个教程混点积分升级用户组(千万不要让管理知道emmm...)，也为了记录下过程防止以后忘记。
1.查看原始文件
是的，我没有原始文件，我搬运了楼主的图:keai

大多数这种格式的文件都是用gzexe压缩过的(没记错的话是这样)
正常来说我们直接将乱码部分复制出来新建个文件就可以了，可以使用tail -n +38 file.sh > /tmp/1.gz
+38 是指跳过的行号一般就是乱码的哪一行减一,具体看上面的明文代码分析
本来图片上的第三行的skip = 38+2 指的就是跳过的行数，但是由于明文代码做了别的处理所以我们不能已这个为准
但也不是说一定按乱码为准(万一给你故意加几行乱码呢对吧)
得到新文件后可以看下数据格式是什么(这个我不怎么懂)
反正有可能是个直接是个二进制可执行文件
也可能是个压缩包等等。。
(目前就遇到过这两种情况，是的，我很捞{:1_936:})
2.如果是压缩包
解压(感觉是废话).一般解压出来还是个sh代码文件。然后重复上一步。直到不能解压。
这时又有两种可能
    1.sh可执行文件(明文)
      哪就完成了
    2.是个二进制可执行文件
      请看第三部
3.二进制可执行文件
对于二进制可执行文件这个说法我不知道对不对啊反正文件就是乱码

直接运行文件,我的文件名是11，所以直接执行
./11
然后会有一大堆进度条。然后进入到主程序

使用Ctrl+z挂起它
再使用ps -ef查看进程

可以看到运行的是当前目录的script.sh文件
刚刚有人说其他脚本不可能也像这样存放data目录，然后我就想我记得之前是直接显示脚本路径的，重新做一遍流程后发现我们可以看箭头的上一句cd /data;bash script。还好我是天选之子，能预测它的数据目录
ls 查看下当前目录

发现没有这个文件(当然没有这个文件了，一般这种脚本的第一行代码就是删除自身)
所以我们修改文件权限禁止它删除，是的就是这么暴力
执行chattr +a ./
然后重新使用./11运行程序
然后会有一大堆进度条。然后进入到主程序
然后退出或者挂起
再使用ls 查看目录

找到了{:1_918:}
4.打开看看
真的是真实文件，你说巧不巧
真的一进来就删除自身，你说巧不巧
它把自己存在/data目录，而我刚刚就在/data目录运行的它，你说巧不巧，巧不巧{:1_929:}(我真的是天选之子)

5.其他
1.由于删除使用的是rm命令，所以我们可以将rm命令备份，然后将cp命令复制一份改名成rm，或者自己随变写一个脚本替换(是的还是这么暴力)
2.之前有遇到过一种运行后才去通过网络下载主程序的代码，可以运行时将它挂起然后还是通过ps查看进程，一般会有wget的调用，我们可以直接将地址复制出来，自己下载
3.开两个窗口，一个窗口先执行死循环复制目录的所有文件，另一个窗口运行程序(刚想起来的一种方式)。是的，还是这么暴力
6.附件

是的，还是没有密码，我还是不知道mac怎么压缩时设置密码{:1_907:}
是的，我又犯错了，这个文件是别人的，为了不给他人造成困扰，就不让大家下载了，等我去找个加密的文件来再分享给大家做测试
那位兄弟，非常抱歉

15774211127 发表于 2019-9-27 10:37

草飞天下 发表于 2019-9-27 10:33
你是用注册码验证后，脚本运行后，才看的代码

验证之前，拿到的代码，在它需要输入qq验证的时候挂起进程。它验证需要花q，我这么穷怎么可能去买授权，而且我不用这个东西，我是直接从别人的求助贴复制过来的文件

1150026315 发表于 2019-9-26 19:58

大佬别发解密后的脚本 说方法就行了 我的初衷只是学习 并不是破解脚本，这个只是一键安装ssp[anel;流控 手动我都会的 只是学习下如何解密而已 本来我是想币一人给一半的 谁知道全给了那个大佬
大佬麻烦去掉解密后的文件！~！{:300_960:}

花语 发表于 2019-9-26 18:18

15774211127 发表于 2019-9-26 18:19

花语 发表于 2019-9-26 18:18
兄弟这是啥子命令行
不知道哎，mac电脑自带的反正

15774211127 发表于 2019-9-26 18:23

花语 发表于 2019-9-26 18:18
兄弟这是啥子命令行

window 有个cmder好像也不错哦

丨丨丨丨 发表于 2019-9-26 18:36

感谢分享

Titanic 发表于 2019-9-26 19:24

老铁， 牛逼奥

15774211127 发表于 2019-9-26 19:33

Titanic 发表于 2019-9-26 19:24
老铁， 牛逼奥

谢谢🙏，我是小白，多多指教

15774211127 发表于 2019-9-26 20:00

1150026315 发表于 2019-9-26 19:58
大佬别发解密后的脚本 说方法就行了 我的初衷只是学习 并不是破解脚本，这个只是一键安装ssp

上传的是你发给我的那个文件，没有上传解密后的文件

1150026315 发表于 2019-9-26 20:06

15774211127 发表于 2019-9-26 20:00
上传的是你发给我的那个文件，没有上传解密后的文件

那行吧 感谢了 ！~！

查看完整版本: 简单的shell解密