针对angr提供的练习题,现在进行求解14_angr_shared_library,它也是关于外部导入在动态库的问题,需要使用angr求解出正确密码。但是需要提供排除地址以减少路径求解时间。
具体代码如下所示
import angr
import claripy
import sys
def main(argv):
path_to_binary = 'lib14_angr_shared_library.so'
#定义基本地址,共享库文件中的地址是基本地址+偏移地址,偏移地址就是文件中的地址
base = 0x08048000
project = angr.Project(path_to_binary, load_options={
'main_opts' : {
'custom_base_addr' : base
}
})
# 初始化符号变量,0x20000000为缓冲区地址
sym_val=claripy.BVV(0x20000000,32)
#validate函数地址为base+0x6d7
validate_function_address = base+0x6d7
#因为需要比较的字符串长度为8,故利用BVV传入参数claripy.BVV(8,32)
initial_state = project.factory.call_state(validate_function_address,sym_val,claripy.BVV(8,32))
password=claripy.BVS("password",64)
initial_state.memory.store(sym_val,password)
simulation = project.factory.simgr(initial_state)
success_address = base+0x783
simulation.explore(find=success_address)
if simulation.found:
solution_state = simulation.found[0]
solution_state.add_constraints(solution_state.regs.eax!=0)
solution =solution_state.solver.eval(password,cast_to=bytes)
print('solution is {0}'.format(solution))
else:
raise Exception('Could not find the solution')
if __name__ == '__main__':
main(sys.argv)
validate函数地址validate_function_address是基本地址+0x6d7。
validate函数需要输入两个变量s1和a2,其中,sym_val对应s1,claripy.BVV(8,32)对应a2
符号位向量password作为符号化的传入字符串传入缓冲区地址0x20000000中。
success_address是base+0x783,0x783对应validate函数结束地址。
下面验证实验结果
执行刚刚写好的程序,保存为scaffold14.py,并将其与14_angr_shared_library放于同一文件夹中,具体如下图所示。