LLVM pass pwn 入门 (2)

原创 已于 2022-07-11 11:35:57 修改 · 2.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #pwn #安全

于 2022-07-11 10:10:51 首次发布
本文详细介绍了CISCN-2021 satool题目解题过程,涉及LLVM pass的逆向分析和调试。通过IDA分析,找到关键函数runOnFunction,发现对函数名及调用的操作符有特定要求。通过调试和修改源代码,满足条件并通过层层检查,最终找到关键操作,控制函数指针执行one_gadget,实现getshell。该过程锻炼了逆向C++程序的能力,对理解和利用LLVM pass具有指导意义。

本文来分析几道题目,熟悉下LLVM pass pwn的解题流程。

CISCN-2021 satool

国赛题,2022年也出了一道名字都一样的题,可见国赛还是很重视这类题型的。

这一题的附件很难找,笔者将其放在了自己的github中,便于读者复现。

首先当然是使用IDA打开。发现符号表被抠了,不过我们还是有定位runOnFunction的方法。
需要注意的是,题目中给的runOnFunction函数是覆写的llvm库中的runOnFunction方法,因此其一定会被vtable表引用,而vtable表在.rodata段中,只需要调到IDA-view界面查看名字未知的函数中哪一个有足够的长度,而且被.rodata段引用即可。


发现红框中的两个函数都有足够的长度,但是只有sub_19D0被.rodata段引用,因此判定这就是覆写的runOnFunction方法了。

由于我们有llvm的所有头文件源码,因此对于.so文件中llvm方法的调用,我们都可以找到相应的声明,有助于我们理解代码本身。

1. 逆向分析


首先进行的是两个条件判断,这里判断rdx是否为8,函数的返回值是否等于该字符串的值。经过调试发现,上面的函数getName()的返回值是llvm::value对象的名字。需要注意的是,llvm::value是llvm中最重要的一个类,其可以代表一个常量、变量、指令或函数。这里可以看到如果对象的名字不是B4ckDo0r,则会直接退出不作处理。要想进行下面的处理,我们就必须要让一个函数的名字为B4ckDo0r。至于前面对rdx的判断,这应该也算是getName()函数的返回值,其表示的是对象名字的长度。显而易见,B4ckDo0r的长度为8,因此这里判断长度是否为8合情合理。

注:这里说明一下llvm pass类题目如何调试。

我们需要通过opt程序加载.so链接库,同时输入.ll文件以生成IR输出,因此应该调试opt这个程序(带参数的opt调试方式:gdb optr 参数, 参数,...),我们可以先对opt下一个在main开头的断点,保证其在一开始执行就能够中断,注意此时.so链接库并未被加载到内存中,本题的opt程序中在main函数有一堆函数调用,快速步过后经过某一条call指令可以发现.so库被加载,此时再下链接库的断点,继续执行就可以让程序断在我们想要调试的runOnFunction()函数了。这种方式是笔者自己探索出来的,比较麻烦,但由于这方面的资料实在太少,找不到现成的参考,只能先这样做了。如有更加简便的方法还请读者不吝赐教。

前面我们知道了只有名为B4ckDo0r的函数才能被优化,后面的代码错综复杂,手动地去一步步分析显然是不太现实的,我们重点关注一下程序中提到的字符串,看能不能找到一些流程控制的线索。

(line 175) if ( !(unsigned int)str_compare(&p_dest, "save") )
(line 300) if ( (unsigned int)str_compare(&p_dest, "takeaway") )
(line 444) if ( !(unsigned int)str_compare(&p_dest, "stealkey") )
(line 469) if ( !(unsigned int)str_compare(&p_dest, "fakekey") )
(line 517) if ( !(unsigned int)str_compare(&p_dest, "fakekey") )

我们很容易能够找到上面的几行语句,这里的save、takeaway等字符串显然是突破的关键所在。

经过调试发现,这里的&p_dest指的是函数中操作符的名字,如第一条语句调用printf函数时,操作符名即为printf。因此我们不仅要保证其函数名为B4ckDo0r,还要保证其中调用的函数名为上面五个字符串中的一个。

在save控制流程中,我们发现了这些代码,通过字符串可以猜测出这应该是报错信息,对于使用C语言程序正常生成的.ll文件,应该不会有这样的问题出现。因此在下面凡是看到跳转到这些label的代码,就统统都可以不看了,能够节省很多时间。


剔除掉这些检查的代码之后,我们发现真正对我们有用的代码实际上也就这么几行。

// save
            v31 = n;
            v32 = malloc(0x18uLL);
            v32[2] = byte_2040f8;
            byte_2040f8 = v32;
            v33 = (char *)src;
            memcpy(v32, src, v31);
            v34 = v32 + 1;
            v35 = (char *)v84[0];
            memcpy(v34, v84[0], (size_t)v84[1]);
            if ( v35 != &v85 )
            {
   
   
              operator delete(v35);
              v33 = (char *)src;
            }
            if ( v33 != v88 )
              operator delete(v33);
// stealkey
          v66 = llvm::CallBase::getNumTotalBundleOperands((llvm::CallBase *)(v6 - 24));
          if ( byte_2040f8
            && !(-1431655765
               * (unsigned int)((v15
                               + 24 * v65
                               - 24LL * v66
                               - (v8
                                - 24 * (unsigned __int64)(*(_DWORD *)(v8 + 20) & 0xFFFFFFF))) >> 3)) )
          {
   
   
            byte_204100 = *byte_2040f8;
          }
// fakekey
              v76 = byte_204100;
              if ( *(_BYTE *)(*(_QWORD *)v75 + 16LL) == 13 )
                SExtValue = llvm::APInt::getSExtValue((llvm::APInt *)(*(_QWORD *)v75 + 24LL));
最低0.47元/天 解锁文章
05-如何在llvm源码之外调试ollvm
blind cat
02-07 770
1、先编译一份 llvm 2、clion 配置 : 选择目标 :LLVMObfuscation 可执行文件 : 选择llvm编译生成的clang-9 主动配置错误: int* err = (int*)0; *err = 1; 参数 :clang -Xclang -load -Xclang /home/showme/androidSec/llvm/outLLVMPass/back/ollvm/testOutllvmPass/cmake-build-debug/ollvm/lib/Transforms/Ob
LLVM PASS pwn
sky123博客
03-22 914
LLVM的核心是一个库,其设计了一种通用的LLVM IR,并提供一系列接口来操作LLVM IR,生成目标平台代码等等后端的功能.LLVM Pass就是遍历传入的IR并进行一些处理,在实现上,LLVM的核心库中存在一些Pass类,通过继承这些类并重载一些方法,就可以方便的处理传入的IRLLVM Pass的用处:在Pass遍历LLVM IR的同时,就可以非常方便的完成插桩,静态分析,机器无关的代码优化等等操作.下面列出了几个重要的命令行工具.llvm-asLLVM IRllvm-disllvm-asopt。
[llvm] LLVM 核心类简明示例 : llvm::Value && llvm::Type && llvm::Constant
weixin_30588675的博客
09-21 1014
LLVM 核心类简明示例 : llvm::Value && llvm::Type && llvm::Constant llvm核心类位于 include/llvm/IR中,用以表示机器无关且表现力极强的LLVM IR。 llvm::Value llvm::Value则是这其中的重中之重,它用来表示一个具有类型的值。它是类图如下: llvm::Argument,ll...
LLVM学习笔记④
m0_46220969的博客
10-26 989
TLS(Thread Local Storage) 线程本地存储模型:一个变量可以被定义为thread_local,然后这个变量不能被线程共享(每个线程享有独立的变量副本)并非所有的目标都支持TLS。 一个TLS变量可以被指定为以下的TLS模型之一: ①loacaldynamic 仅在当前共享库中使用的变量 ②initialexec 不会被动态加载的模块中的变量 ③localexec 在可执行文件中定义的变量,并且仅能在这个可执行文件中使用。 如果没有指出明确的模型,则采用“general dynamic”
llvm libLLVMCore源码分析 02 - Value Class
weixin_42654107的博客
02-21 1615
源码路径 llvm\include\llvm\IR\Value.h llvm\include\llvm\IR\ValueHandle.h llvm Value Class 在llvm中,Value类是所有程序计算出的值的类(如Arguments,Instructions, Functions等)的基类。 Value Type:Value都是有类型的,可以通过getType()方法获取Value的Type。 Value Name:Value可以有名字,如下所示的IR中,这个Instructio
LLVM PASSpwn入门
weixin_46483787的博客
06-01 1468
国赛上遇到了LLVM PASSpwn不会做,于是趁此机会来入个门
LLVM pass pwn 入门 (4)
CoLin的pwn小屋
07-21 6576
LLVM pass pwn 入门 (4) —— 2022年国赛题Satool详细分析
LLVM pass pwn 入门 (1)
CoLin的pwn小屋
07-09 1977
LLVM pass pwn 入门——LLVM pass基础知识与基本使用
LLVM pass pwn 入门 (3)
CoLin的pwn小屋
07-19 991
LLVM pass pwn 入门:红帽杯2021-simpleVM题解
编写LLVM Pass模块知识点梳理(二)
u010940020的专栏
03-09 1648
在上一篇博客中,以foo函数为例演示了如何编写Pass模块代码向一个Module植入所需的自定义函数“foo”,同时还留一些问题有待进一步探讨,本文将作为对上一篇博客的补充来介绍作者对这些情景的一些处理方法。 一、怎样调用植入的函数? 1.1 问题背景 在上一篇博客中,我们在Pass模块的void CreateFooFunc(Module &M) {…}函数中写入了完整的foo函数代码,但...
深入浅出 LLVM之 Value 、User 、Use 源码解析
生活需要深度
02-05 1304
先叠个甲。这是我的第二篇技术文章,并且我对于LLVM源代码的理解还停留在比较粗浅的层面。可能文章中措辞有些不严谨,亦或是技术点有误的地方,欢迎评论区友好讨论。温馨提示:文中代码块和图比较多,建议使用电脑观看哦。LLVM之设计是LLVM中最核心的设计之一,为了详细地讲解他们之间的关系,我先以中一个常见的优化来引入。
LLVM编译器系列-4】llvm IR中Value类
ShareTechHome
04-27 778
LLVM中万般皆Value,类的继承图已经表现的非常充分,具体Value类型怎么使用,本节只是简单介绍了类型方法,后面章节会重点介绍value类,use和user的使用方法。
LLVM 中 Value 功能解析
最新发布
weixin_40398522的博客
06-22 1005
LLVM 中输入程序流IR 的形式呈现。如同Linux 中一种说话一切皆为文件,即Linux 把一切设备IO都虚拟化为文件来看待LLVM也有类似的概念: 一些皆为Value。Value是LLVM中非常重要的基类,输入程序流中变量/常量/表达式/符号都可以被视为一个Value。
llvm pwn入门--第一篇
m0_63437215的博客
04-19 1038
llvm入门
编写LLVM Pass模块知识点梳理
u010940020的专栏
02-19 3372
一、本文目标 LLVM 平台提供了 Pass 模块编写功能,类似于一种插件,可以对高级编程语言所写源代码被前端处理后生成的统一中间 IR 语句进行处理 基于此特性,可以将自己设计的代码混淆的一些机制、语句编写成Pass模块来作用于目标代码上,并且具有跨平台的效果 以不透明谓词为例,目前大量文献甚至包括 OLLVM 这套工具在内都是以实现一些简单算式为目标,更多复杂数据结构如何植入并未系统介绍 本...
LLVM 中的Value、User、Use设计
weixin_40398522的博客
09-21 1614
首先,定义一个简单的LLVM IR 代码片段,这里创建一个简单的加法操作在这个例子中,%1是一个Value,它代表了加法操作的结果.i32 是它类型,表示这是一个32位的整数10 和 20 是操作数,它们也是Value。
打印LLVM::Type或者LLVM::Value的值
Night_ZW的博客
01-09 2703
#include "llvm/ADT/STLExtras.h" #include "llvm/IR/Constants.h" #include "llvm/IR/Instructions.h" #include "llvm/IR/LLVMContext.h" #include "llvm/IR/Module.h" #include "llvm/IR/Type.h" #include "llvm/Su
编译器架构的LLVM IR 1st Day(分解struct)
春江花月夜
05-29 1046
IR分层 Module–》Function–》BasicBlock–》Instruction Tips: 1、所有的instruction都是在Function之内,以%开头。metadata不属于instruction,struct的variable name只存在于debug model下,需从metadata中提取。 2、getelementptr是constantExpr的subclass...
LLVM语言参考手册之标识符、类型与常量
qq_42308741的博客
03-08 1571
参考网站:LLVM语言参考手册 摘要       LLVM是基于静态单赋值(SSA)的表示形式。之所以为单赋值,每个名字在SSA中仅被赋值一次。它可提供类型安全性,低级操作,灵活性并能清晰地表示“所有”高级语言的功能。它是在LLVM编译策略的所有阶段中使用的通用代码表示形式。       LLVM代码表示以三种不同的形式来使用:作为内存中的编译器IR,作为磁盘上的位代码表示(适用于即时编译器的快速加载)以及作
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值