Angr学习(5)

最新推荐文章于 2024-09-13 19:41:32 发布
最新推荐文章于 2024-09-13 19:41:32 发布
阅读量423 收藏 1
点赞数 2
分类专栏: Angr 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/109196765
版权

低级内存接口

>>> proj.memory.store(0x4000,proj.solver.BVV(0x12345678,64))
>>> proj.memory.load
<bound method SimSymbolicMemory.load of <angr.state_plugins.symbolic_memory.SimSymbolicMemory object at 0x7f29b0fbac10>>
>>> proj.memory.load(0x4000)//进行内存的存储读取操作
<BV64 0x12345678>
>>> proj.arch.memory_endness//看是大段序还是小端序
'Iend_LE'

基础执行

>>> proj.step//当前的程序的位置
<bound method SimState.step of <SimState @ 0x400610>>
>>> proj.step()//返回当前运行到下一个分支有几种情况
<IRSB from 0x400610: 1 sat>
>>> proj.step().successors[0]
<SimState @ 0x4005d0>
>>> proj.step().successors//successors包含了程序接下来运行所有的可能性的列表
[<SimState @ 0x4005d0>]

在这里插入图片描述
发现跳转记录的分支与程序一致。

在这里插入图片描述
刚刚那个只有一个分支的,现在找有两个分支的

>>> while 1:
...     h = proj.step()
...     if len(h.successors) == 2:
...             break
...     proj = h.successors[0]
... 
>>> h.successors
[<SimState @ 0x1117a47>, <SimState @ 0x1117a88>]
>>> h.successors[0].solver.constraints
[<Bool syscall_stub_ptrace_6_64 <= 0xfffffffffffff000>]
>>> h.successors[1].solver.constraints
[<Bool syscall_stub_ptrace_6_64 > 0xfffffffffffff000>]

通过这个能很明显的看出符号执行的原理,遇到判断的时候,我们会产生两个完全分开的状态——一个用于模拟条件为真,另一个用于模拟条件为假,然后在第一个状态中,我们添加<= 0xfffffffffffff000为约束条件,而在第二个状态中,我们添加> 0xfffffffffffff000为约束条件。这样的话就能确保程序把所有路径都跑一遍从而找出正确的那个。

history插件

>>> for addr in proj.history.bbl_addrs: //接着上面的,history里面记录一个状态的执行路径,就是一个链表,bbl_addrs中是state已经执行过的基本块的地址列表
...   print hex(addr)
... 
0x400610L
0x4005d0L
0x1021ab0L
0x400890L
0x400560L
0x400575L
0x4008c3L
0x4008c8L
0x4006d0L
0x4006f8L
0x400670L
0x400692L
0x4008ddL
0x4008d0L
0x4007a8L
0x400590L
0x1042790L
0x1021100L
0x10b1690L
0x10b16b6L
0x10b16c6L
0x10427a6L
0x1042860L
0x10427f6L
0x4007bbL
0x4007c1L
0x400600L
0x11179e0L
0x1117a3fL
>>> proj.history.recent_bbl_addrs
[17922623L]
>>> proj.history.descriptions
<angr.state_plugins.history.LambdaAttrIter object at 0x7f29b116cd50>
>>> proj.history.descriptions.hardcopy//描述state上每轮执行的状态的字符串列表
['<IRSB from 0x400610: 1 sat>', '<IRSB from 0x4005d0: 1 sat>', '<SimProcedure __libc_start_main from 0x1021ab0: 1 sat>', '<IRSB from 0x400890: 1 sat>', '<IRSB from 0x400560: 1 sat 1 unsat>', '<IRSB from 0x400575: 1 sat>', '<IRSB from 0x4008c3: 1 sat 1 unsat>', '<IRSB from 0x4008c8: 1 sat>', '<IRSB from 0x4006d0: 1 sat 1 unsat>', '<IRSB from 0x4006f8: 1 sat>', '<IRSB from 0x400670: 1 sat 1 unsat>', '<IRSB from 0x400692: 1 sat>', '<IRSB from 0x4008dd: 1 sat 1 unsat>', '<IRSB from 0x4008d0: 1 sat>', '<IRSB from 0x4007a8: 1 sat>', '<IRSB from 0x400590: 1 sat>', '<IRSB from 0x1042790: 1 sat>', '<IRSB from 0x1021100: 1 sat>', '<IRSB from 0x10b1690: 1 sat 1 unsat>', '<IRSB from 0x10b16b6: 1 sat 1 unsat>', '<IRSB from 0x10b16c6: 1 sat>', '<IRSB from 0x10427a6: 1 sat 1 unsat>', '<IRSB from 0x1042860: 1 sat>', '<IRSB from 0x10427f6: 1 sat>', '<IRSB from 0x4007bb: 1 sat 1 unsat>', '<IRSB from 0x4007c1: 1 sat>', '<IRSB from 0x400600: 1 sat>', '<IRSB from 0x11179e0: 1 sat>', '<SimProcedure ptrace (syscall) (stub) from 0x1117a3f: 1 sat>']
>>> proj.history.bbl_addrs.hardcopy
[4195856L, 4195792L, 16915120L, 4196496L, 4195680L, 4195701L, 4196547L, 4196552L, 4196048L, 4196088L, 4195952L, 4195986L, 4196573L, 4196560L, 4196264L, 4195728L, 17049488L, 16912640L, 17503888L, 17503926L, 17503942L, 17049510L, 17049696L, 17049590L, 4196283L, 4196289L, 4195840L, 17922528L, 17922623L]//获取这些值的平面列表
>>> proj.history.jumpkinds
<angr.state_plugins.history.LambdaAttrIter object at 0x7f29b116cd50>
>>> proj.history.jumpkinds.hardcopy
['Ijk_Boring', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Call', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Ret', 'Ijk_Boring', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Boring', 'Ijk_Boring', 'Ijk_Ret', 'Ijk_Boring', 'Ijk_Call', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Boring', 'Ijk_Boring', 'Ijk_Ret', 'Ijk_Boring', 'Ijk_Boring', 'Ijk_Ret', 'Ijk_Boring', 'Ijk_Call', 'Ijk_Boring', 'Ijk_Sys_syscall', 'Ijk_Ret']

Ijk_Boring:就是一个正常的跳转
Ijk_Call:用call的形式的跳转
Ijk_Ret:return形式的跳转
Ijk_Sys_syscall:系统调用
Ijk_NoHook:跳到angrHook了的地方

>>> proj.history.events
<angr.state_plugins.history.LambdaIterIter object at 0x7f29b116ccd0>
>>> proj.history.events.hardcopy//记录文件运行中的一些操作的列表
[<SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() mem/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() mem/read>, <SimEvent unconstrained 20, with fields ['bits', 'name']>, <SimEvent uninitialized 21, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 22, with fields ['bits', 'name']>, <SimEvent uninitialized 23, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 24, with fields ['bits', 'name']>, <SimEvent uninitialized 25, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 26, with fields ['bits', 'name']>, <SimEvent uninitialized 27, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 28, with fields ['bits', 'name']>, <SimEvent uninitialized 29, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 30, with fields ['bits', 'name']>, <SimEvent uninitialized 31, with fields ['memory_id', 'addr', 'size']>, <SimEvent unconstrained 32, with fields ['bits', 'name']>, <SimActionData ptrace() reg/write>, <SimActionData ptrace() reg/read>, <SimActionData ptrace() reg/read>, <SimActionData ptrace() reg/write>, <SimActionData ptrace() reg/write>]
>>> proj.history.actions
<angr.state_plugins.history.LambdaIterIter object at 0x7f29b116cc10>
>>> proj.history.actions.hardcopy
[<SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() reg/read>, <SimActionData __libc_start_main() mem/write>, <SimActionData __libc_start_main() reg/write>, <SimActionData __libc_start_main() mem/read>, <SimActionData ptrace() reg/write>, <SimActionData ptrace() reg/read>, <SimActionData ptrace() reg/read>, <SimActionData ptrace() reg/write>, <SimActionData ptrace() reg/write>]//填充程序对所有内存、寄存器、临时值访问的日志

观察栈帧

>>> for i in proj.callstack: //只能用迭代器的方法来打出这些栈里面的值
...     print i
... 
Backtrace:
Frame 0: 0x4007c1 => 0x400600, sp = 0x7fffffffffeff28
Frame 1: 0x4008d0 => 0x4007a8, sp = 0x7fffffffffeff38
Frame 2: 0x1021ab0 => 0x400890, sp = 0x7fffffffffeff78
Frame 3: 0x400610 => 0x4005d0, sp = 0x7fffffffffeff88
Frame 4: 0x0 => 0x0, sp = 0xffffffffffffffff
Backtrace:
Frame 0: 0x4008d0 => 0x4007a8, sp = 0x7fffffffffeff38
Frame 1: 0x1021ab0 => 0x400890, sp = 0x7fffffffffeff78
Frame 2: 0x400610 => 0x4005d0, sp = 0x7fffffffffeff88
Frame 3: 0x0 => 0x0, sp = 0xffffffffffffffff
Backtrace:
Frame 0: 0x1021ab0 => 0x400890, sp = 0x7fffffffffeff78
Frame 1: 0x400610 => 0x4005d0, sp = 0x7fffffffffeff88
Frame 2: 0x0 => 0x0, sp = 0xffffffffffffffff
Backtrace:
Frame 0: 0x400610 => 0x4005d0, sp = 0x7fffffffffeff88
Frame 1: 0x0 => 0x0, sp = 0xffffffffffffffff
Backtrace:
Frame 0: 0x0 => 0x0, sp = 0xffffffffffffffff
>>> proj.callstack//观察栈里面的值
<CallStack (depth 5)>
>>> proj.callstack[0]
<CallStack (depth 5)>
>>> proj.callstack[1]
<CallStack (depth 4)>
>>> proj.callstack[2]
<CallStack (depth 3)>
>>> proj.callstack.func_addr//函数的开始地址
4195840L
>>> proj.callstack.call_site_addr//调用当前函数的基本块地址
4196289L
>>> hex(proj.callstack.stack_ptr)//当前函数的栈顶指针
'0x7fffffffffeff28L'
>>> hex(proj.callstack.ret_addr)//当前函数的返回地址
'0x4007dfL'
0xwangliang
关注
专栏目录
angr学习【五】
BadRer的博客
05-16 1547
前言 时间真的不多咯。这次来看看如何编写简单高效的angr脚本,如何进行设置约束条件。 题目五unbreakable 题目链接 我先贴上自己写的粗糙的脚本: # -*-coding:utf-8-*- from angr import * import logging,claripy,archinfo logging.getLogger('angr.manager').setLevel(...
angr学习【二】
BadRer的博客
05-13 1698
前言 这篇文章是一定要写的,虽然可能还不是很明白。 题目二 题目 https://github.com/angr/angr-doc/tree/master/examples/ais3_crackme IDA看一下,需要从命令行进行输入。那么就需要使用到claripy这个模块。 claripy.BVS('arg1', n*8) 构造输入参数长度为8bytes entry_state...
Angr Unsat_corn 使用之坑
瘦果的专栏
12-27 385
Angr 版本 : angr 8.20.7.27 错误原因: 使用 state.solver.unsat_core() 爆出 z3.z3types.Z3Exception: b'invalid dec_ref command' 错误,根据代码Traceback 根本找不到哪里写错了。 建议: 不要用 state.solver.unsat_core()
Angr初接触
youshangfashi的博客
05-07 347
Angr初接触 这里写目录标题Angr初接触简介安装angr操作补充  最近在看angr的一些东西,可以说是刚刚入门,想把知道的东西都写下来,方便以后忘了查看一下,这篇博客适合还没入门angr的小白白,如果有奆奆看到这篇博客,欢迎指正。 简介  Angr是一个与平台无关的二进制分析框架,是一套python3的库,做符号执行的。 Angr可以做的事情: -拆卸和中间表示提升 -程序检测 -符号执行 ...
Angr源码分析——CFGFast._pre_analysis()
zhuzhuzhu22的博客
06-14 925
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。            最近分析的时候要去修复CFG,那就免不了要去看CFGFast的源码(有人写过了这个解析),那么从官方的解释来看呢,CFGFast采用静态分析的方法,简单来讲就是用程序序言,也就是程序开头的固定字符串匹配比如(push {xxx} /...
如何构建反汇编代码?
人邮异步社区
11-25 2717
大型的非结构化反汇编指令堆几乎不可能被分析,所以大多数反汇编工具都会以某种简单的分析方法来构造反汇编代码。在本节中,我们将会讨论通过反汇编工具恢复的通用代码和数据结构,以及这些通用代码和数据结构会如何帮助我们进行二进制分析。 6.3.1 构建代码 首先,我们来看一下构建反汇编代码的各种方法。笼统地说我将向你展示两种使得代码更易于分析的代码结构。 (1)分块:将代码分成逻辑连接的块,可以更轻松地分析每个块的功能和代码块之间的关系。 (2)揭示控制流:接下来讨论的这种代码结构不仅表达了代码自身,还很直观
跳转指令 jmp、call、ret、retf
chuanwang66的专栏
06-10 754
     JMP、CALL和RET指令的近转移形式只是在当前代码段中执行程序控制转移,因此不会执行特权级检查。JMP、CALL或RET指令的远转移形式会把控制转移到另外一个代码段中,因此处理器一定会执行特权级检查。   1、jmp指令:不影响堆栈。紧紧进行执行流程的跳转,不会保存返回地址。(书P55)对于jmp而言,长短jmp仅仅是结果不同罢了,短跳转对应段内,长跳转对应段间。   ...
angr学习【1】
weixin_39219503的博客
07-06 524
angr安装 python虚拟环境 安装python虚拟环境 pip install virtualenv pip install virtualenv wrapper 安装完成后,将如下命令写入~/.bashrc(linux)或者~/.bash_profile(OSX) export WORKON_HOME=your/python/env/path source /path/to/virtualenvwrapper.sh   创建虚拟环境 mkvirtualenv angr 推出虚拟环境 deact
CTF 逆向工具angr学习笔记
lifanxin的博客
09-14 3929
angr概述基本用法总结 概述   angr   简单介绍一下angr,借助官方的原话就是 – A powerful and user-friendly binary analysis platform!,一个功能强大且用户友好的二进制分析平台。这里主要总结一下使用angr解决ctf逆向题的一些用法和套路。   安装的话,大家可以直接使用pip安装,不过这里可能会遇到一个小坑。我在安装angr之前已经安装了pwntools,此时再安装angr,由于有一个依赖库两者需要的版本是不一样的,所以安装后导致pwnt
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
我根据此幻想教程 , 和,使用此git repo记录了我对angr学习经验。 非常感谢他们。 我希望我能继续一段时间并在将来熟悉angr。 安装 我使用pypy以更快的方式运行angr。 这是我的安装说明。 conda create -n angr...
符号执行angr解ctf逆向题组
12-28
在`angr_ctf-master`这个压缩包中,你可能会找到一些示例代码、测试用例和CTF题目,这些都是学习`angr`符号执行的好资源。通过深入学习和实践这些材料,你将能够熟练地运用`angr`解决各种逆向工程问题,提高你在CTF...
angr-doc:Angr套件的文档
04-29
如果您想学习如何使用它,那么您来对地方了! 我们试图使angr尽可能轻松地使用-我们的目标是创建一个用户友好的二进制分析套件,使用户可以简单地启动iPython并使用几个命令轻松地执行密集的二进制分析。 话虽这么...
angr学习【三】
BadRer的博客
05-14 1834
前言 这次我研究了一下angr的输入和输出,用几个例子作为示范,更深入的理解angr。 题目三 这次的程序和题目一是一样的。但是这次我尝试将success输出出来。 首先我们需要更改find的地址。 # find=0x4005AF for pp in res.found: print pp.posix.dumps(0) print "-----" p...
漏洞挖掘 符号执行_初探利用angr进行漏洞挖掘(上)
weixin_39943678的博客
12-15 1883
前言angr是一个基于python开发的一款符号执行工具,可以用于二进制分析,在CTF逆向中有很大的用途,例如可以通过约束求解找到复杂计算的正确解,从而拿到flag;然而angr的用途远不止于此,它甚至还能被用于AEG (Automatic Exploit Generation) ,有一个叫zeratool的工具实现了一些用于简单的pwn的AEG,AEG的步骤一般分为:挖掘漏洞生成利用exp验证e...
angr源码分析——数据依赖图 DDG
doudoudouzoule的博客
06-13 3242
由于官方文档中关于数据依赖图(DDG)的说明少之又少,所以这是一篇对angr构造数据依赖图由浅入深的分析博客。下面就开始吧。DDG的使用案例:#先加载一个二进制文件,选择符号分析模式 proj = angr.Project(binary_path,load_options={'auto_load_libs': False},default_analysis_mode='symbolic') #利用...
angr使用[3]--使用技巧
九层台
01-04 1411
0x08对探索结果添加限制 #跳过一些函数来求解 import angr import claripy import sys import binascii def main(argv): path_to_binary = "08_angr_constraints" project = angr.Project(path_to_binary) start_address = 0x...
angr学习笔记(9)(添加约束)
寻梦&之璐
04-13 2550
拖进ida 需要在下方添加一个约束,防止路线爆炸if ( check_equals_AUPDNNPROEZRJWKB((int)&buffer, 0x10u) ) 脚本 import sys import angr def main(argv): bin_path=argv[1] p=angr.Project(bin_path) start_addr=0x08048625 init_state=p.factory.blank_state(addr=start_a
ANGR简介
kelxLZ的博客
01-01 6902
转载自CTF ALL IN ONE 简介 angr 是一个多架构的二进制分析平台,具备对二进制文件的动态符号执行能力和多种静态分析能力。在近几年的 CTF 中也大有用途。 安装 在 Ubuntu 上,首先我们应该安装所有的编译所需要的依赖环境: $ sudo apt install python-dev libffi-dev build-essential virtualenvwrapper 强烈建议在虚拟环境中安装 angr,因为有几个 angr 的依赖(比如z3)是从他们的原始库中 fork 而来,如
【双语新闻】AGI安全与对齐,DeepMind近期工作
最新发布
qq_29883477的博客
09-13 1062
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
python angr
08-25
Angr是一个开源的、用于动态分析的Python库,主要用于二进制文件的逆向工程和软件安全研究。它构建在PyClaripy和SimuVex之上,提供了一个高级的API来创建模拟器环境,支持函数级调试、内存分析、漏洞挖掘以及系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值