angr使用学习(持续更新)

已于 2024-05-28 12:46:31 修改
阅读量536 收藏 9
点赞数 5
文章标签: python 开发语言 安全 网络安全
于 2024-05-23 23:25:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79135465/article/details/139150750
版权

首先我是直接在kali中安装的,也是边练边学的。

嗯,要在纯净python环境,所以是在 virtualenv 虚拟环境里,也不是特别会用这个,按照教程一步步做的

source venv/bin/activate

进入了对应环境

退出是

deactivate

 en,ipython交互性确实好一些

00_angr

import angr
p=angr.Project('./dist/00_angr_find')
init_state=p.factory.entry_state()
sm=p.factory.simulation_manager(init_state)
sm.explore(find=0x8048678)
# sm.found[0]
found_state=sm.found[0]
found_state.posix.dumps(0)

得到正确字符串 

01_angr

嗯,最好都加一个 avoid=  ,也可以加快模拟

02_angr

sm.explore( )参数也可以是字符串。

不知道为什么写地址跑不出来。

import angr
p=angr.Project('./dist/02_angr_find_condition')
init_state=p.factory.entry_state()
sm=p.factory.simulation_manager(init_state)
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b'Try again' in state.posix.dumps(1)
sm.explore(find=is_good,avoid=is_bad)
if sm.found:
    found_state=sm.found[0]
    print(found_state.posix.dumps(0))

使用指定地址作为目标(find=address)没有预期的效果,但使用字符串匹配时却可以正常工作。这可能是由于以下几种原因:

  1. 路径爆炸angr在分析复杂的二进制程序时可能会遇到路径爆炸问题,即存在大量的执行路径。设置特定地址作为目标可能无法让angr找到正确的路径,因为它可能在其他路径上花费太多时间或资源。

  2. 目标地址不可达:目标地址可能并不是代码执行的直接目标。例如,如果目标地址在特定条件下才能被执行,而条件不满足,angr就无法到达该地址。

  3. 代码优化或跳转:编译器的优化可能导致目标地址的直接访问变得复杂,例如内联函数或跳转指令。字符串匹配可能会更直接地找到这些代码片段。

  4. 符号执行约束angr依赖于符号执行来探索程序的执行路径。如果约束条件太复杂或过于松散,可能无法正确解析所有可能的执行路径。

03_angr

是有三个输入,angr好像不支持多个输入

定义为符号变量(BVS)并表示为比特向量(bit vectors)

嗯,就是起始位置可以自定义,变量可以自己通过寄存器设置

存储在寄存器中了

entry_state()

entry_state() 创建一个状态,表示程序刚刚开始执行时的状态。它使用指定的二进制文件,按照正常程序启动时的方式初始化状态。这通常包括设置程序的入口点、初始化栈指针、程序计数器等。

blank_state()

blank_state() 创建一个最小化的空状态,没有对特定二进制文件进行初始化。它只设置基本的架构信息和一些默认状态,允许用户完全自定义状态。

特点:
  1. 无特定入口点:程序计数器(PC)不会被设置为二进制文件的入口点。
  2. 手动初始化:所有寄存器、内存和环境都需要手动初始化。
  3. 灵活性:提供了更高的灵活性,允许用户设置特定的初始条件和状态。

但是 entry_state() 也可以设置开始地址,不过后面都是 blank_state() 用的多 

import angr
import claripy
p=angr.Project('./dist/03_angr_symbolic_registers')
state_addr=0x08048980
init_state=p.factory.blank_state(addr=state_addr)
pass1=claripy.BVS('pass1',32)
pass2=claripy.BVS('pass2',32)
pass3=claripy.BVS('pass3',32)
init_state.regs.eax=pass1
init_state.regs.ebx=pass2
init_state.regs.edx=pass3

sm=p.factory.simulation_manager(init_state)
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b'Try again' in state.posix.dumps(1)

sm.explore(find=is_good,avoid=is_bad)
if sm.found:
    found_state=sm.found[0]
    password1=found_state.solver.eval(pass1)
    password2=found_state.solver.eval(pass2)
    password3=found_state.solver.eval(pass3)
    # input hex(not dos)
    print("Solution: {:x} {:x} {:x}".format(password1,password2,password3))
else:
    raise Exception("No Solution")

是要十六进制的输入

04_angr

变量在堆栈中,需要先模拟堆栈

那个ebp是父ebp,保存完父函数ebp才开辟本函数栈空间,当函数执行完以后会有一个pop ebp恢复父函数ebp,但是因为我们要执行的代码与父函数无关,只用执行到find的地方就可以了,不用返回父函数接着执行,所以保存不保存父函数ebp都无所谓

import angr
p=angr.Project('./dist/04_angr_symbolic_stack')
state_addr=0x08048697
init_state=p.factory.blank_state(addr=state_addr)

# 布局堆栈
padding_size=8
init_state.stack_push(init_state.regs.ebp)
init_state.regs.ebp=init_state.regs.esp
init_state.regs.esp-=padding_size

# 变量
pass1=init_state.solver.BVS('pass1',32)
pass2=init_state.solver.BVS('pass2',32)
init_state.stack_push(pass1)
init_state.stack_push(pass2)

sm=p.factory.simgr(init_state)
#==sm=p.factory.simulation_manager(init_sate)
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b'Try again' in state.posix.dumps(1)

sm.explore(find=is_good,avoid=is_bad)

if sm.found:
    found_state=sm.found[0]
    password1=found_state.solver.eval(pass1)
    password2=found_state.solver.eval(pass2)
    print("Solution: {} {}".format(password1,password2))
else:
    raise Exception("Solution not find")

05_angr

变量写在内存中

scanf('%8s',unk_404233)  大小 8 个字节

import angr
p=angr.Project('./dist/05_angr_symbolic_memory')
state_addr=0x08048601
init_state=p.factory.blank_state(addr=state_addr)
p1=init_state.solver.BVS('p1',64)
p2=init_state.solver.BVS('p2',64)
p3=init_state.solver.BVS('p3',64)
p4=init_state.solver.BVS('p4',64)
p1_addr=0x0A1BA1C0
p2_addr=0x0A1BA1C8
p3_addr=0x0A1BA1D0
p4_addr=0x0A1BA1D8
init_state.memory.store(p1_addr,p1)
init_state.memory.store(p2_addr,p2)
init_state.memory.store(p3_addr,p3)
init_state.memory.store(p4_addr,p4)

sm=p.factory.simgr(init_state)
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b'Try again' in state.posix.dumps(1)
sm.explore(find=is_good,avoid=is_bad)

if sm.found:
    found_state=sm.found[0]
    pass1=found_state.solver.eval(p1,cast_to=bytes)
    pass2=found_state.solver.eval(p2,cast_to=bytes)
    pass3=found_state.solver.eval(p3,cast_to=bytes)
    pass4 = found_state.solver.eval(p4, cast_to=bytes)
    print("Solution: {} {} {} {}".format(pass1.decode('utf-8'),pass2.decode('utf-8'),pass3.decode('utf-8'),pass4.decode('utf-8')))
    print("Solution: {} {} {} {}".format(pass1,pass2,pass3,pass4))
else:
    raise Exception('no solution')
#Solution: NAXTHGNR JVSFTPWE LMGAUHWC XMDCPALU
#Solution: b'NAXTHGNR' b'JVSFTPWE' b'LMGAUHWC' b'XMDCPALU'

符号变量 p1 等被定义为 64 位比特向量。cast_to=bytes 可以将这些比特向量转化为对应的字节表示。否则,默认情况下,eval 可能返回一个整数表示。 

06_angr

动调分配内存-->指定一块内存给他用

import angr
p=angr.Project('./dist/06_angr_symbolic_dynamic_memory')
state_addr=0x08048699
init_state=p.factory.blank_state(addr=state_addr)
# open space
print('ESP:',init_state.regs.esp)
# 0x7fff0000 not started
buffer0=0x7fff0000-100
buffer1=0x7fff0000-200
# buffer==pointer
buffer0_addr=0x0ABCC8A4
buffer1_addr=0x0ABCC8AC
init_state.memory.store(buffer0_addr,buffer0,endness=p.arch.memory_endness)
init_state.memory.store(buffer1_addr,buffer1,endness=p.arch.memory_endness)
p1=init_state.solver.BVS('p1',64)
p2=init_state.solver.BVS('p2',64)
init_state.memory.store(buffer0,p1)
init_state.memory.store(buffer1,p2)

sm=p.factory.simgr(init_state)
def is_good(state):
   return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
   return b'Try again' in state.posix.dumps(1)
sm.explore(find=is_good,avoid=is_bad)
if sm.found:
   found_state=sm.found[0]
   pass1=found_state.solver.eval(p1,cast_to=bytes)
   pass2=found_state.solver.eval(p2,cast_to=bytes)
   print("Solution: {} {} ".format(pass1.decode('utf-8'),pass2.decode('utf-8')))
else:
   raise Exception('no solution')

那个endness 好像是端序问题

07_angr

有一个对文件读取的操作,ignore应该是要avoid的,但不是好像

首先,文件名也可符号化

import angr
p=angr.Project('./dist/07_angr_symbolic_file')
state_addr=0x080488D6
init_state=p.factory.blank_state(addr=state_addr)

# 插入符号化文件
filename="OJKSQYDP.txt" #文件名也可符号化
file_size=0x40
password=init_state.solver.BVS('password',file_size*8)
sim_file=angr.storage.SimFile(filename,content=password,size=file_size)
init_state.fs.insert(filename,sim_file)

sm=p.factory.simgr(init_state)
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b"Try again" in state.posix.dumps(1)

sm.explore(find=is_good,avoid=is_bad)
if sm.found:
    found_state=sm.found[0]
    password_bytes=found_state.solver.eval(password,cast_to=bytes)
    print("Solution {}".format(password_bytes))
else:
    raise Exception('no solution')

好像有的也可以直接指定 cast_to=str  ,这个不行,decode也会报错

官方给的题解,还有一个 file_options='r' 在SimFile 处 ,但我加上还报错了

08_angr

这个题目是去解决路径爆炸的问题

程序的条件分支(如if语句)会产生多条执行路径,随着执行的深入,路径数量呈指数级增长,导致符号执行引擎需要跟踪的路径数目过多,资源消耗巨大

这个逐个字节比对也是会造成路径爆炸

import angr
p=angr.Project('./dist/08_angr_constraints')
state_addr=0x08048625
init_state=p.factory.blank_state(addr=state_addr)

buffer_addr=0x0804A050
password=init_state.solver.BVS('password',16*8)
init_state.memory.store(buffer_addr,password)
sm=p.factory.simgr(init_state)

check_addr=0x08048673
sm.explore(find=check_addr)
if sm.found:
   check_state=sm.found[0]
   desired_str="AUPDNNPROEZRJWKB"
   # param
   check_param1=buffer_addr
   check_param2=16
   check_bvs=check_state.memory.load(check_param1,check_param2)
   check_constraints=desired_str==check_bvs
   check_state.add_constraints(check_constraints)
   passstr=check_state.solver.eval(password,cast_to=bytes)
   print("Solution: {}".format(passstr))
else:
   raise Exception('no find')

09_angr

这题用到了 hook ,也是要好好学习一下。

其实这题和上面那个差不多

本来应该输入两个 16 字节字符串 ,直接输入 32 字节,多的好像是在缓冲区里,下面的就直接用了。

函数返回值一般存储在 eax 里(int ,bool)

import angr
import claripy #符号求解引擎
p=angr.Project('./dist/09_angr_hooks')
init_state=p.factory.entry_state()

# hook
check_addr=0x080486B3
check_skip_size=5
@p.hook(check_addr,length=check_skip_size)
def check_hook(state):
    user_input_addr=0x0804A054
    user_input_length=16
    # read
    user_input_bvs=state.memory.load(user_input_addr,user_input_length)
    desired_str="XYMKBKUHNIQYNQXE"
    state.regs.eax=claripy.If(
        desired_str==user_input_bvs,
        claripy.BVV(1,32),
        claripy.BVV(0,32)
    )
    
def is_good(state):
    return b'Good Job' in state.posix.dumps(1)
def is_bad(state):
    return b'Try again' in state.posix.dumps(1)
sm=p.factory.simgr(init_state)
sm.explore(find=is_good,avoid=is_bad)

if sm.found:
   found_state=sm.found[0]
   print("Solution:{}".format(found_state.posix.dumps(0)))
else:
   raise Exception('no solve')

其实也是不太理解

改为 user_input_length=32 ,就 no solve

10_angr

re_halo
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AngryGhidra:在吉德拉使用angr
03-22
愤怒的吉德拉 ...使用gradle构建扩展名: GHIDRA_INSTALL_DIR=${GHIDRA_HOME} gradle并使用Ghidra进行安装: File → Install Extensions... 将此存储\Ghidra\Extensions到\Ghidra\Extensions目录。
使用angr进行静态分析和符号执行
04-25
使用angr进行静态分析和符号执行
逆向持续学习持续更新
hanxuer_的博客
04-29 493
** 菜鸡找点题目写写,边写边学习 ** 攻防世界pythontrade python反汇编,用了工具,观察反汇编代码 可以看出flag经过encode这个函数处理在经过base64编码变成了correct(一开始没注意base64。。。还以为哪里想错了。。。太菜了唉) 写一下脚本 import base64 flag="" s="XlNkVmtUI1MgXWBZXCFeKY+AaXNt" ...
符号执行之angr初探
hanxuer_的博客
05-13 1093
angr学习之旅 作为一个新手+菜鸡,接触到这个还是因为之前网鼎杯的逆向,signal,当时并不知道angr,是想了半天逆出来的,比赛结束之后看了师傅的wp才发现还有这个好用的东西,于是开始学习记录一下。 一开始偷懒在win10下装的,后来不知道elf文件可不可以再win10下用angr(是可以的)然后就想着在ubuntu配置了环境,安装了一下 记录一个小坑 一开始不会用,进入python环境后,import angr,报错 后来发现应该先 workon angr 调换环境 然后先简单的学习了一下ang
angr学习[1]简单加载程序分析,设置寄存器
九层台
06-28 1301
0x01简介 之前学了一些但是后来没有跟进,慢慢忘了,最近找到一个比较好的学习github项目,系统地重新学一下 angr是一种模糊执行工具,不是太清楚怎么做的但是比直接爆破要好很多就对了。 并且angr提供了一个强大的功能,可以加载分析人以平台下的二进制文件。 原github项目地址 https://github.com/jakespringer/angr_ctf 下面的代码会给出两部分 1.官...
探索二进制世界的利器:angr-utils
gitblog_00028的博客
05-26 298
探索二进制世界的利器:angr-utils 项目地址:https://gitcode.com/axt/angr-utils 项目介绍 在深度学习和人工智能的浪潮中,二进制分析同样扮演着不可或缺的角色。angr-utils 是一个强大的工具集,专为 angr 二进制分析框架设计,旨在帮助开发者更有效地理解和操作二进制文件。它提供了一系列实用工具,包括可视化功能、pretty printers 和辅助...
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
我根据此幻想教程 , 和,使用此git repo记录了我对angr学习经验。 非常感谢他们。 我希望我能继续一段时间并在将来熟悉angr。 安装 我使用pypy以更快的方式运行angr。 这是我的安装说明。 conda create -n angr...
符号执行angr解ctf逆向题组
12-28
学习如何使用`angr`解决CTF逆向题时,你需要掌握以下知识点: 1. **基础逆向工程**:理解汇编语言、基本的二进制操作和函数调用约定是必要的。 2. **`angr`安装与配置**:了解如何在本地环境中安装和配置`angr`,...
程序分析理论-angr
05-08
论文(State of)The Art of War: Offensive Techniques in Binary Analysis介绍ppt
Chapter 18 Python异常
2302_80253507的博客
07-28 1288
在Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
python字符串数据容器练习(replace,split,count)
2301_79600015的博客
07-31 373
Python字符串是由一系列字符组成的数据类型。在Python中,字符串是不可变的,这意味着一旦创建了一个字符串,就不能修改它的内容。以下是关于Python字符串的一些重要知识点:1. 字符串的基本操作:拼接字符串:使用`+`运算符。重复字符串:使用`*`运算符。索引和切片:使用`[]`和`:`操作符访问字符串中的子串。长度:使用`len()`函数获取字符串长度。转换大小写:使用`upper()`和`lower()`方法。分割和连接:使用`split()`和`join()`方法。
loguru日志模块:简化Python自动化测试的日志管理!
07-29 807
日志是软件开发中的关键组成部分,为开发和测试人员提供了调试和监控应用程序的重要手段。loguru 是一个第三方的 Python 日志库,以其简洁的 API 和自动化的功能脱颖而出。本文将探讨为什么项目中需要日志,loguru 为何受到青睐,以及如何封装和在接口自动化测试项目中使用 loguru,同时结合 Allure 生成丰富的测试报告。
Python入门知识点 10--闭包与装饰器
@网工小赵的博客
07-30 820
什么情况下会用到装饰器特性:在不修改源代码的基础上,给函数加功能。
【BUG】Gunicorn [CRITICAL] WORKER TIMEOUT (pid:41518)
最新发布
集电极
07-31 135
使用Gunicorn 启动一个Flask服务后,访问接口响应错误,查看日志发现了该错误。具体上,我的接口大约需要2分钟才将结果返回,因此我的超时时间应该设置为200秒比较合适。秒内没有返回结果,Gunicorn 会弹出超时错误,并且会杀死flask服务重启。:接口返回时间超时。默认情况下,Gunicorn 超时时间为。样例,设置超时时间为200秒。解决方法是在启动命令中。
python语言利用Tkinter实现GUI计算器|(二)优化计算器:过滤用户不合理的输入
人工智能视觉分析算法学习实践和经验分享。
07-27 787
python语言利用Tkinter实现GUI计算器|(二)优化计算器python语言利用Tkinter实现GUI计算器|(二)计算器打包。
用Python打造精彩动画与视频,2.2 使用Jupyter Notebook进行编程
wfbl123456的博客
07-29 374
通过Jupyter Notebook,编程和分析工作变得更加直观和灵活。无论你是初学者还是有经验的开发者,Jupyter Notebook都是一个不可或缺的工具。下一节,我们将探讨如何利用Python的图形库创建动画和视频效果。
工作中需要做100来个条形号码商品SKU,我自己写个python来完成 。
jiang_changsheng的博客
07-31 394
'font_path': r'D:\Users\Administrator\Desktop\DINPro-Regular.otf' # 字体文件路径。'text_distance': 5.0, # 文本与条码的距离,单位毫米。'module_height': 10.0, # 模块高度,单位毫米。'module_width': 0.4, # 模块宽度,单位毫米。'quiet_zone': 2.0, # 静区宽度,单位毫米。'font_size': 10, # 字体大小,单位点。# 设置条形码的长宽和字体。
请写出使用angr查找程序分支数的代码
06-08
以下是使用Angr查找程序分支数的代码示例: ```python import angr # 创建一个Angr项目对象 project = angr.Project('/path/to/binary', load_options={'auto_load_libs':False}) # 获取程序的入口点地址 entry_point = project.loader.main_object.get_symbol('main').rebased_addr # 创建一个Angr状态对象 state = project.factory.blank_state(addr=entry_point) # 开始符号执行 simulation = project.factory.simgr(state) # 对程序进行符号执行,直到所有分支都被探索 simulation.run() # 输出程序分支数 print("程序分支数为:", len(simulation.deadended)) ``` 这段代码创建了一个Angr项目对象,并使用它来进行符号执行。在符号执行过程中,Angr会自动探索所有可能的程序分支,并将其存储在一个simulation对象中。最后,我们可以通过查看simulation对象中的deadended属性来获取程序的分支数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值