怎么最近这么多Cython的题,做起来好痛苦。而且这种题还是那种很好出,但是不好逆的。当然,也就是暂时了。但凡有佬研究清楚结构,都可以搞个反编译器出来直接秒。不过好像就连rust,go这种都没有专门的反编译器,可能就还早了。。。

这次SCTF,某出题人叫我试试他出的题,然后就被恶心到了。

我本身是不喜欢去研究那些什么结构之类的东西,因为不一样的格式太多了,每个都研究显然是不高效的,我想找到一个可能的通解去研究某些问题

因为这不是python系列的第一篇了,所以这里只说一下我想的新方法。

Cython

cython是什么-CSDN博客

Cython是一个语言:完全包含python语言和部分包含C语言和魔改C语言的集合。它由python实现用于写python模块。文件后缀是pyx,它的作用在于提高python的速度,编译过程:pyx->c->pyd/so(分别为Windows,linux)

可以尝试自写一个pyx文件生成pyd后用ida打开pyd文件,发现内容和原来的内容已经截然不同,可以说根本没有辨识度,极难分析。但是可以发现pyd都调用了python.dll的函数,其中所有运算符都在其中有对应的函数。我在想是不是可以通过这个方法来得到pyd的执行流程。

Hook,启动!

frida:挂钩时间在python层hook后第一次执行hook函数。好像不能全部hook,所以只hook基本运算函数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
const functionsToHook = [
"PyNumber_Add",
"PyNumber_Subtract",
"PyNumber_Multiply",
"PyNumber_TrueDivide",
"PyNumber_Or",
"PyNumber_Xor",
"PyNumber_And",
"PyNumber_Lshift",
"PyNumber_Rshift",
"PyObject_GetItem"
];

functionsToHook.forEach(functionName => {
Interceptor.attach(Module.getExportByName("python38.dll", functionName), {
onEnter: function (args) {
let argsArray = [];
try {
argsArray.push(args[0]);
argsArray.push(args[1]);
} catch (e) {
console.log(`Error reading arguments: ${e}`);
}
console.log(argsArray);
send({ function: functionName, arguments: argsArray });
},
onLeave: function (retval) {
send({ function: functionName, returnValue: retval });
}
});
});

然后测试,结果失败了。QAQ因为这些函数的传参和传出都是python的值对象。所以要找个方法去解析那些对象。以及最后的比较不知道是什么函数,要知道最后的密文需要hook这个函数。

尝试先使用ida动调python,看看里面的值对象的空间是怎么样的。


https://xz.aliyun.com/t/16155?time__1311=GuD%3D7Iqmxfhx%2FD0lD2DUoEtW9K7Txita4D

这个是孤恒师傅在先知社区里写的Cython相关知识点。(催更!)

编译

Cython:将python内容编译为pyd文件,pyd类似于DLL,都是静态的,通过调用python.dll的函数实现自己的运算。

1
2
3
4
5
6
7
8
9
10
from distutils.core import setup
from Cython.Build import cythonize

setup(
name='module',
ext_modules=cythonize(
"module.py",
compiler_directives={'language_level': "3"},
),
)

编译类似于这样,执行后,会生成一个.c文件,一个.pyd文件,pyd文件是由c文件编译而来,所以可以通过python源代码和c代码来对照着看相差的内容

对比

类型:

各个类型的存储都有一个固定的函数去转换,
其它可以直接看上面的博客QAQ

操作:

控制流很抽象,只要和变量扯上关系就会有奇怪的函数加进来

比较函数经常使用richCompare,因此要是最后加密逻辑在这里面比较,可以直接hook这个函数来得到密文

函数:

函数变为一层包装,每一个函数可以通过直接找函数名的引用来找到位置,查交叉引用时,一个是外层的包装函数,一个是真正的函数,按照顺序编译的话,一般都是上面是外层函数,下面是内层函数,所以直接找下面那个就可以找到真的函数

调试

执行后附加调试python.exe即可