dan-masek

Deobfuscating some python code.

May 16th, 2021 (edited)
481
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
Python 12.14 KB | None | 0 0
  1. import base64
  2. import dis
  3. import marshal
  4. import zlib
  5.  
  6. # payload extracted from https://github.com/ShuBhamg0sain/phone-number-tracker/blob/master/tracker.py
  7.  
  8. PAYLOAD = 'c\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00@\x00\x00\x00s!\x00\x00\x00d\x00\x00d\x01\x00l\x00\x00Z\x00\x00e\x00\x00j\x01\x00d\x02\x00\x83\x01\x00d\x01\x00\x04Ud\x01\x00S(\x03\x00\x00\x00i\xff\xff\xff\xffNs/)\x00\x00c\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00@\x00\x00\x00s!\x00\x00\x00d\x00\x00d\x01\x00l\x00\x00Z\x00\x00e\x00\x00j\x01\x00d\x02\x00\x83\x01\x00d\x01\x00\x04Ud\x01\x00S(\x03\x00\x00\x00i\xff\xff\xff\xffNs\x9c(\x00\(\x02\x00\x00\x00t\x06\x00\x00\x00base64t\t\x00\x00\x00b64decode(\x00\x00\x00\x00(\x00\x00\x00\x00(\x00\x00\x00\x00s\x02\x00\x00\x00dgt\x08\x00\x00\x00<module>\x05\x00\x00\x00s\x02\x00\x00\x00\x0c\x01(\x02\x00\x00\x00t\x07\x00\x00\x00marshalt\x05\x00\x00\x00loads(\x00\x00\x00\x00(\x00\x00\x00\x00(\x00\x00\x00\x00s\x02\x00\x00\x00dgt\x08\x00\x00\x00<module>\x05\x00\x00\x00s\x02\x00\x00\x00\x0c\x01'
  9.  
  10. l1 = marshal.loads(PAYLOAD)
  11. print("Names", l1.co_names)
  12. print(dis.dis(l1.co_code))
  13.  
  14. l2 = marshal.loads(l1.co_consts[2])
  15.  
  16. print("Names", l2.co_names)
  17. print(dis.dis(l2.co_code))
  18.  
  19. l3 = base64.b64decode(l2.co_consts[2])
  20. l3_str = l3.split('"')[1]
  21.  
  22. l4 = marshal.loads(base64.b32decode(l3_str))
  23. print("Names", l4.co_names)
  24. print(dis.dis(l4.co_code))
  25.  
  26. l4_str = l4.co_consts[2]
  27.  
  28. l4_bin = base64.b64decode(l4_str)
  29.  
  30. l5 = zlib.decompress(l4_bin)
  31. l5_str = l5.split('"')[1]
  32.  
  33. l5_bin = base64.b64decode(l5_str)
  34. l6 = marshal.loads(zlib.decompress(l5_bin))
  35. print("Names", l6.co_names)
  36. print(dis.dis(l6.co_code))
  37.  
  38. l7 = base64.b32decode(l6.co_consts[2])
  39. l8 = marshal.loads(zlib.decompress(l7))
  40. print("Names", l8.co_names)
  41. print(dis.dis(l8.co_code))
  42.  
  43. l9 = base64.b16decode(l8.co_consts[2])
  44. l10 = marshal.loads(zlib.decompress(l9))
  45. print("Names", l10.co_names)
  46. print(dis.dis(l10.co_code))
  47.  
  48. l11 = base64.b64decode(l10.co_consts[2])
  49.  
  50. with open('deobfuscated.py', 'w') as f:
  51.     f.write(l11)
  52.  
  53.  
Add Comment
Please, Sign In to add comment