[LACNIC/Seguridad] Help me, como puedo recuperar un script convertido a binario ?

Javier Quinto jquinto en inictel-uni.edu.pe
Dom Ene 29 20:21:33 BRST 2012 

Un dato más me gustaría agregar, para poder recuperar gran parte del script original puse en la consola de linux lo siguiente: 

ulimit -c unlimited

http://stackoverflow.com/questions/3408373/retrieve-plain-text-script-from-compiled-bash-script
http://stackoverflow.com/questions/17965/generate-a-core-dump-in-linux

Con " ulimit -c unlimited " pude obtener el "corde dump" y para las pruebas que hice con un script de 200 lineas, con un sleep = 0.2 fue suficiente.

./script.sh.x&  ( sleep 0.2 && kill -SIGSEGV $! )

Finalmente:

cat core | strings

Ahora, esto funciona también con script que tiene parámetros, pero hay que indicarles al momento de querer obtener el core:

./script.sh.x -param1=p1 -param2=p2 & ( sleep 0.2 && kill -SIGSEGV $! )

Esto me funciono con bash y python, no sé si funcione con otros lenguajes.

Por último gracias a la todos los que respondieron al correo y a la lista seguridad en lacnic.net

Saludos Cordiales
Javier Richard Quinto A.
 


----- Mensaje original -----
De: Javier Quinto <jquinto en inictel-uni.edu.pe>
Para: Lista para discusión de seguridad en redes y sistemas informaticos de la región <seguridad en lacnic.net>
Enviado: Fri, 27 Jan 2012 17:33:12 -0500 (PET)
Asunto: Re: [LACNIC/Seguridad] Help me, como puedo recuperar un script convertido a binario ?

Hola Gastón, 

Muchas gracias por la referencia, me dio resultado :) ... por ahi modificando el valor del sleep obtuve el core y con " cat"  pude desnudar el ejecutable y recuperar el script, genial! 

Saludos Cordiales
Javier Richard Quinto Ancieta


----- Mensaje original -----
De: Gaston Franco <gfranco en arcert.gov.ar>
Para: Lista para discusión de seguridad en redes y sistemas informaticos de la región <seguridad en lacnic.net>
Enviado: Fri, 27 Jan 2012 14:10:59 -0500 (PET)
Asunto: Re: [LACNIC/Seguridad] Help me, como puedo recuperar un script convertido a binario ?

yo he utilizado, hace muuucho tiempo atrás y con éxito,
el proceso que veo comentado en:
http://stackoverflow.com/questions/3408373/retrieve-plain-text-script-from-compiled-bash-script

quizás dependa de la versión de shc utilizado, pero por las dudas podes probarlo.

Saludos.
GF:

El 27/01/12 15:36, Fernando Quintero escribió:
> Javier, la más fácil es contactar al autor del software que usaste y preguntarle
> si es posible revertir el proceso.
> La siguiente opción si no puedes contactarlo es entender que fue lo que hizo el
> script y luego intentar devolverlo.
> No se como funciona por dentro este en particular, pero he visto otros que
> simplemente introducen las líneas del script y lo parsean para enviarselas a un
> system() + un proceso de ofuscación. Dependiendo de lo que haga este software,
> se podrá o no devolver.
> 
> Aprovecha que es opensource!
> 
> Saludos.
> 
> 2012/1/27 Javier Quinto <jquinto en inictel-uni.edu.pe
> <mailto:jquinto en inictel-uni.edu.pe>>
> 
>     Hola Gerald, gracias por tu respuesta, pero creo que no me deje entender, mi
>     pregunta era como pasar un archivo ejecutable de linux "ELF" (yo lo llamo
>     binario :) ) a codigo C o a codigo Bash, como dije en el anterior correo
>     encontré un programa llamado "Boomerang" que lo convierte a codigo C, lo he
>     probado pero no me dio el resultado esperado. No sé si conocen algún método
>     o programa para recuperar un script ejecutable a codigo C o bash ?. Lo que
>     pasa que he perdido el script original y solo tengo el ejecutable :-(
>      (código ELF).
> 
>     Saludos Cordiales
>     Javier Richard Quinto
> 
> 
> 
> 
>     ----- Mensaje original -----
>     De: Gerald Martin Lanzas Garay <glanzas en inss.gob.ni
>     <mailto:glanzas en inss.gob.ni>>
>     Para: Lista para discusión de seguridad en redes y sistemas informaticos de
>     la región <seguridad en lacnic.net <mailto:seguridad en lacnic.net>>
>     Enviado: Fri, 27 Jan 2012 12:08:00 -0500 (PET)
>     Asunto: Re: [LACNIC/Seguridad] Help me, como puedo recuperar un script
>     convertido a binario ?
> 
>     http://www.eztigma.tk/juegos/binary.php
> 
>     tal vez te sirve.
> 
>     saludes!
> 
>     El 27.01.2012 <tel:27.01.2012> 18:03, Javier Quinto escribió:
>     > Hola a todos de la lista, no sé si sea el medio adecuado pero igual
>     > les escribo, espero puedan ayudarme.
>     >
>     > Tengo un script en linux convertido a binario usando "
>     > http://www.datsi.fi.upm.es/~frosal/sources/ " una herramienta en
>     > linux
>     > que convierte texto plano a binario, ese script me automatiza
>     > instrucciones que necesito en el trabajo, pero lamentablemente
>     > necesito recuperar el script original (texto plano), alguien sabe
>     > alguna herramienta que podría usar para recuperar el script original
>     > ?, he probado el "boomerang" y solo pude convertir el binario a
>     > codigo
>     > C, también usé el paquete "objdump" pero solo lo convierte a
>     > assembler, así que recurro a ustedes, si tuvieran algún
>     > enlace,referencia o tips que pueda ayudarme le agradecería.
>     >
>     > Saludos Cordiales
>     > Javier Quinto
>     > jquinto en inictel-uni.edu.pe <mailto:jquinto en inictel-uni.edu.pe>
>     >
>     >
>     > _______________________________________________
>     > Seguridad mailing list
>     > Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>     > https://mail.lacnic.net/mailman/listinfo/seguridad
> 
>     _______________________________________________
>     Seguridad mailing list
>     Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/seguridad
> 
>     _______________________________________________
>     Seguridad mailing list
>     Seguridad en lacnic.net <mailto:Seguridad en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 
> 
> 
> -- 
> 
> 
> --------------
> Fernando Quintero
> http://nonroot.blogspot.com/
> Just a nonroot User
> 
> 
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad

-- 
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458

Av. Roque Saenz Peña 511 - Oficina:527
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad