找回密码
 加入
搜索
楼主: runsnake

[系统综合] 关于跟cmd启动的命令行式的程序交互的问题

 火.. [复制链接]
发表于 2013-2-10 02:35:36 | 显示全部楼层
没看懂,不过也留个名。。。
发表于 2013-2-10 09:08:13 | 显示全部楼层
回复 15# runsnake


    地址的确是直接写在EXE中的,DUMP的作用是分析为什么是那个地址而不是其它地址
发表于 2013-2-10 09:33:18 | 显示全部楼层
回复 17# Qokelate


    你用的CE搜的?
发表于 2013-2-10 09:56:20 | 显示全部楼层
本帖最后由 Qokelate 于 2013-2-10 10:08 编辑

回复 18# happytc

    由于找到了一个可用的IP,于是尝试直接用CE搜索一下IP,居然还真找到了,接着赶紧用WinHEX 把内存另存一下(貌似不怎么需要,不过习惯上不喜欢反复执行EXE),貌似XML的地址也就那么几个



PS : 还有个更快捷的办法,  下载一般都导出于 wininet    OD断在 CALL InternetCrackURL 是也一个快捷得到URL的办法
发表于 2013-2-11 18:18:17 | 显示全部楼层
回复 1# runsnake


    直接在命令前面加上管道命令

echo y | del %temp%\*.*
发表于 2013-2-12 10:01:04 | 显示全部楼层
本帖最后由 lanfengc 于 2013-2-12 10:35 编辑

回复 18# happytc


回复 19# Qokelate


没必要逆向程序的.
通过wpe抓包后,发现程序登录的时候,是通过这个地址
cp.123ssh.com/login.php?u=usassh&p=35d2ca05c704195c924a07b9f4411fd1&kid=0878

获取到期的时间.如果获取到的数据是空的,则证明登录失败了.
然后登录成功后,跳转到
www.hostzzz.com/ssh/servers.xml?kid=12609584

获取可使用的代理服务器列表,将列表数据显示到listview中.
最后,双击列表中的某项时候,程序调用plink.exe并传参过去执行.
参数格式为:

免费的用户名@IP地址 -P 443 -D 7070 -N -v -Z 免费的用户名
例如:(下面的#其实都是@,系统自动会转成邮件,所以我替换成了#)
usassh#49.212.205.109 -P 443 -D 7070 -N -v -Z usassh 
usassh#50.117.26.122 -P 443 -D 7070 -N -v -Z usassh 
usassh#50.117.26.123 -P 443 -D 7070 -N -v -Z usassh 


获取参数的AU3代码为:

;将以下代码编译成exe,改名为plink.exe, 替换原plink.exe,就可以将参数写入parm.txt了.
$t=''
For $i=1 To $cmdline[0]
        $t&=$cmdline[$i]&' '
Next
FileWrite("PARM.txt",$t&@CRLF)

评分

参与人数 1金钱 +80 收起 理由
happytc + 80 不错的方法

查看全部评分

发表于 2013-2-12 10:05:12 | 显示全部楼层
回复 19# Qokelate

呵,其实满足楼要求,不用这么麻烦
直接找个查看本地网络连接的程序,就可以看到plink连接的远程ip地址是啥了?
发表于 2013-2-12 10:06:14 | 显示全部楼层
回复 20# lanfengc


    这是什么“神”法?

明显这样肯定不执行,临时目录下多少文件,根本不会让你删的。
发表于 2013-2-12 10:11:09 | 显示全部楼层
回复 23# happytc


    没搞明白你的意思. 我回复的是找参数的一种办法,不用通过逆向分析软件的办法.
发表于 2013-2-12 10:27:16 | 显示全部楼层
回复 24# lanfengc


    呵,其实是我没有明白你的意思。
因为上面一直没有说找参数的事,所以没有想到这块。
看楼主的意思,是知道参数怎么写的。
发表于 2013-2-12 10:32:40 | 显示全部楼层
回复  happytc


回复  Qokelate


没必要逆向程序的.
通过wpe抓包后,发现程序登录的时候,是通过这 ...
lanfengc 发表于 2013-2-12 10:01

嗯,这个方法也错,一般人做这种事,都是两个思路:就如楼主在#15楼说的,抓包,也就是你这个方法;再则就是内存查找了。
不过,你找参数的方法,说开了非常简单,但能想到用这种方法得到参数,还真是出其不意。很有创意
另外,神了,我试了一下用新版的plink0.62,由于不支持“Z”参数,去掉它,居然不能ssh这个服了
发表于 2013-2-12 10:33:12 | 显示全部楼层
回复 25# happytc


    他知道参数怎么写,但是不知道参数中的IP是从哪里来的. 所以我用抓包分析的办法,分析出来参数中IP的xml文件的地址, 顺便分析了登录的地址. 我只是想说,不用逆向也可以分析这个程序,没有其他的意思.
发表于 2013-2-12 10:38:11 | 显示全部楼层
本帖最后由 lanfengc 于 2013-2-12 10:40 编辑

回复 26# happytc


    呵呵,我一直用这个$cmdline变量获取其他程序的参数的. 以前写过一个命令行参数获取器,就是这样的原理,只是加了点界面和生成快捷方式的按钮.
发表于 2013-2-12 10:44:44 | 显示全部楼层
回复 28# lanfengc

不需要装任何东西呀
你用的plink版本是多少》?

反正我用0.62不成功,而用这个客户端里的0.61就没有问题
发表于 2013-2-12 10:51:57 | 显示全部楼层
回复 29# happytc


    这个Plink是干什么的,不懂.  它自带的这个, 是可以连接,是我的端口问题.改下-d 后面的端口就可以了.
它自带的这个plink,是针对它网站更改过的. 你看版本就知道了.
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-12-26 02:20 , Processed in 0.071162 second(s), 15 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表