网上下载了个所谓的云免脚本,懂 shell 大神帮看看 gzexe 压缩
- 0次
- 2021-06-30 08:41:19
- idczone
我判断是 gzexe 加密的,因为不太懂 shell,求大神帮分析分析
#!/bin/sh
skip=44
tab=' '
nl='
'
IFS=" $tab$nl"
umask=`umask`
umask 77
gztmpdir=
trap 'res=$?
test -n "$gztmpdir" && rm -fr "$gztmpdir"
(exit $res); exit $res
' 0 1 2 3 5 10 13 15
if type mktemp >/dev/null 2>&1; then
gztmpdir=`mktemp -dt`
else
gztmpdir=/tmp/gztmp$$; mkdir $gztmpdir
fi || { (exit 127); exit 127; }
gztmp=$gztmpdir/$0
case $0 in
-* | */*'
') mkdir -p "$gztmp" && rm -r "$gztmp";;
*/*) gztmp=$gztmpdir/`basename "$0"`;;
esac || { (exit 127); exit 127; }
case `echo X | tail -n +1 2>/dev/null` in
X) tail_n=-n;;
*) tail_n=;;
esac
if tail $tail_n +$skip <"$0" | gzip -cd > "$gztmp"; then
umask $umask
chmod 700 "$gztmp"
(sleep 5; rm -fr "$gztmpdir") 2>/dev/null &
"$gztmp" ${1+"[email protected]"}; res=$?
else
echo >&2 "Cannot decompress $0"
(exit 127); res=127
fi; exit $res
***下面就是各种乱码**
主要是运行过程解压到临时文件夹就立马 rm -fr 删除了
想在中间插入 cat 或者 cp 还报错"Cannot decompress $0"
表示这个排版有点醉
我搞过,那段乱码是个 libc 编译好的东西,才是真正的安装脚本,反编译吧
嗯,但它也是解压到"$gztmp"这个文件夹运行了呀,就是一运行就删了,要不然就能找到解压的安装脚本了
禁止删除呀
2、chattr
change attribute,即修改文件或目录的隐藏属性;
(1)i:如果设置了此属性,则目录或文件不能被修改(即使 root 也不能修改或删除他)。
(2)a:如果设置了此属性,只能添加内容,而不能修改或删除内容;
chattr +ai file:添加属性;
chattr -ai file:删除属性;
chattr =a file:设置属性;
a:Append Only,系统只允许在这个文件之后增加数据,而不能删除这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立文件,而不允许删除任何文件,也不允许修改目录下原有的文件。只有 root 用户可以设置这个属性。
这个厉害,我试试
这个能作用到二级目录吗,它是执行的时候在 /tmp 下新建一个 /tmp.XXXX 文件夹,然后把脚本解压其中
直接单独复制乱码部分出来,gzip 解开就行
以前跟康师傅和骚猪要了源码,不知道丢哪去了
chmod 700 "$gztmp"
这段改成 cat "$gztmp" ~/x 之类的就有了
用 ultraedit 之类的软件改,可以在 win 下用各种类似 cygwin 的环境运行
最早解出来是脚本,后来是二进制 bin
几天前刚刚手拆了这个东西……
叫康师傅云免是吧,解压了然后 upx 脱个壳,拉 ida 里约等于明文了…
这东西干了一件比较奇怪的事,把系统的 curl 给换了…
有两个验证授权的地方,如果你少 patch 一个地方,还会删你 home 目录…
ps: 搭反代实测上海电信的三爱免流基于 ip 白名单,别试了。
gzexe 压缩的脚本文件不是直接 gzexe -d 就可以还原了么。。。
一改就没法运行了--
求问怎么解压
你不是要解压吗,改了以后就解压到你改的地方了,至于解压出来是脚本还是二进制程序那就看作者了
解压出来要运行先 chmod +x
确实管用,不过得出的文件打开是乱码==,不是到是什么格式的。。。
那就可能是二进制,得不到明文-。-
二进制的参考 ihciah 的回复
反正也是折腾的事情,明文是没法简单拿到了,想折腾就继续吧~
解压了,貌似没查到壳
刚才把之前分析的东西打包丢服务器了(不保证链接长期有效
https://www.ihcblog.com/kangshifu_analyse.zip
你看命令里不是有 gzip -cd 么 不用猜就是 gz 许多大公司的 linux 版安装都是这个鬼玩法
感谢感谢,我来研究一波
有工具专门做这种自解压的脚本。之前 google picsasa 就是这么做的。你执行 ./file.bin --help 看一下。我忘记这个软件的名字了。