-
-
[原创]南充茶坊
-
发表于: 2019-12-5 09:41
-
首先看到南充茶坊.exe本身没有什么操作,并且可以看到新进程CM.exe
直接binwalk即可提取出CM.exe,同时可以看到压缩包,提取后是一些pyc,同时可以看到CM.exe中只是解压了一段数据(python的bootloader)并运行新的进程,可以看到是pyinstaller
直接使用pyinstxtractor.py提取失败,打开winhex,发现CM.exe的py数据最后四字节有问题:
去掉后重新提取,即可在提取的资源中发现主程序的pyc数据(\CM.exe_extracted\CM),添加pyc文件头,再使用uncompyle6.exe反编译,其他几个引用库,修复pyc文件头再反编译即可:
得到三个主要文件:
CM.py:
CMpub.py:
general.py:
可以看到是多重RSA
需要解九个n
其中大部分可以靠factordb/yafu/RSACTFTools解出
注意其中:
pub_n_list[3]需要msieve
pub_n_list[7]和pub_n_list[8]共模求解
pub_n_list[5]利用循环:
最终求解即可:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-12-5 09:43
被梅零落编辑
,原因:
