漏洞挖掘 符号执行_初探利用angr进行漏洞挖掘(上)

最新推荐文章于 2024-04-11 09:53:31 发布
VIP文章 最新推荐文章于 2024-04-11 09:53:31 发布
阅读量1.8k 收藏 6
点赞数
文章标签: 漏洞挖掘 符号执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39943678/article/details/112202635
版权

前言

angr是一个基于python开发的一款符号执行工具,可以用于二进制分析,在CTF逆向中有很大的用途,例如可以通过约束求解找到复杂计算的正确解,从而拿到flag;然而angr的用途远不止于此,它甚至还能被用于AEG (Automatic Exploit Generation) ,有一个叫zeratool的工具实现了一些用于简单的pwn的AEG,AEG的步骤一般分为:

  • 挖掘漏洞
  • 生成利用exp
  • 验证exp

zeratool采用的挖掘漏洞的方法是通过符号执行,遍历所有可能存在的约束路径,如果出现了 unconstrained 状态的路径,则认为产生了漏洞,本人在查看zeratool源码和动手实践的过程中发现这种挖掘方法不尽全面,只适用于一些单一漏洞的例子,再加上zeratool采用的angr版本为7.x,而最新的已经是8.x,8.x的api也发生了很大改变

因此想探究在angr 8.x上实现进一步的栈溢出漏洞探索和堆空间中UAF和Double_Free漏洞探索,本篇主要是分享一些对挖掘栈溢出漏洞的想法和心得,堆漏洞的在下篇,水平有限,大佬轻喷Orz

官方例子

先举一个官方的AEG的简单例子(在angr根目录的examples/insomnihack_aeg中)

#include #include #include char component_name[128] = {0};typedef struct component {    char name[32];    int (*do_something)(int arg);} comp_t;int sample_func(int x) {    printf(" - %s - recieved argument %d", component_name, x);}comp_t *initialize_component(char *cmp_name) {    int i = 0;    comp_t *cmp;    cmp = malloc(sizeof(struct component));    cmp->do_something = sample_func;    printf("Copying component name...");     while (*cmp_name)        cmp->name[i++] = *cmp_name++;    cmp->name[i] = '0';    return cmp;}int main(void){    comp_t *cmp;    printf("Component Name:");    read(0, component_name, sizeof component_name);    printf("Initializing component...");    cmp = initialize_component(component_name);        printf("Running component...");    cmp->do_something(1);}

这里很明显可以看到有一个堆溢出漏洞,当component_name长度大于32时,会溢出覆盖到cmp->do_something成员,在之后的cmp->do_something(1)中,会导致程序崩溃

而官方给出的angr脚本如下

import osimport sysimport angrimport subprocessimport loggingfrom angr import sim_options as sol = logging.getLogger("insomnihack.simple_aeg")# shellcraft i386.linux.shshellcode = bytes.fromhex("6a68682f2f2f73682f62696e89e331c96a0b5899cd80")def fully_symbolic(state, variable):    '''    check if a symbolic variable is completely symbolic    '''    for i in range(state.arch.bits):        if not state.solver.symbolic(variable[i]):            return False    return Truedef check_continuity(address, addresses, length):    '''    dumb way of checking if the region at 'address' contains 'length' amount of controlled    memory.    '''    for i in range(length):        if not address + i in addresses:            return False    return Truedef find_symbolic_buffer(state, length):    '''    dumb implementation of find_symbolic_buffer, looks for a buffer in memory under the user's    control    '''    # get all the symbolic bytes from stdin    stdin = state.posix.stdin    sym_addrs = [ ]    for _, symbol in state.solver.get_variables('file', stdin.ident):        sym_addrs.extend(state.memory.addrs_for_name(next(iter(symbol.variables))))    for addr in sym_addrs:        if check_continuity(addr, sym_addrs, length):            yield addrdef main(binary):    p = angr.Project(binary)    binary_name = os.path.basename(binary)    extras = {so.REVERSE_MEMORY_NAME_MAP, so.TRACK_ACTION_HISTORY}    es = p.factory.entry_state(add_options=extras)    sm = p.factory.simulation_manager(es, save_unconstrained=True)    # find a bu
最低0.47元/天 解锁文章
weixin_39943678
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zeratool:自动利用漏洞利用(AEG)和远程标志捕获来解决可利用的CTF问题
04-29
Zeratool 自动利用漏洞利用(AEG)和远程标志捕获来解决可利用的CTF问题 该工具使用通过挂接printf并查找来协整地分析二进制文件。 然后,这些程序状态通过和一系列脚本技巧被武器化以用于远程代码执行。 最后,在本地对有效负载进行测试,然后将其提交给远程CTF服务器以恢复该标志。 正在安装 Zeratool已在Ubuntu 16.04上进行了测试,并且已将安装脚本从Ubuntu 12.04设置为Ubuntu 18.04。 ./install.sh 用法 Zeratool是一个python脚本,它接受二进制文件作为参数,还可以选择链接的libc库,以及CTF Server连接信息 [chris:~/Zeratool] [angr] python zeratool.py -h usage: zeratool.py [-h] [-l LIBC] [-u URL] [-p PORT]
CTF学习资源推荐
weixin_40965132的博客
06-18 1099
从零开始的CTF 资源整理1 Bugku - 自己体验过觉得很不错的靶场 XCTF - 据说很火的国内CTF平台 ctftime - 国外很火的CTF平台 国外的CTF练习平台推荐 Pwn入门 Mac 环境下 PWN入门系列(一) - 安全客,安全资讯平台 这里有mac搭建pwn环境的教学(安装pwntools和pwndbg) PWN常用工具安装 gdb+peda+pwndbg、gcc、Pwntools、Binutils Capstone、gcc-multilib、so
探秘Angr:动态程序分析与二进制漏洞研究的强大工具
最新发布
gitblog_00078的博客
04-11 826
探秘Angr:动态程序分析与二进制漏洞研究的强大工具 项目地址:https://gitcode.com/angr/angr-doc 在软件安全领域,对二进制代码进行静态和动态分析是发现潜在漏洞和理解其执行逻辑的重要手段。Angr 是一个开源的、全面的二进制分析平台,它提供了丰富的技术集,用于模拟执行、路径探索、符号执行等多种任务。这篇文章将带你深入了解Angr的功能、技术实现和应用场景,揭示它的独...
angr的深入学习
qq_41071646的博客
02-20 1222
以前就会用angr 最近在看的时候 发现很多框架都利用angr 做了很多事情 于是根据 两个项目来深入学习一下angr 一个是 反混淆ollvm的代码 项目地址 https://github.com/pcy190/deflat 一个是 auto pwn 的框架 https://github.com/ChrisTheCoolHut/Zeratool 这两个都用到了an...
kali 2023安装angr zeratool(virtualenv环境安装);pypy3
llrraa2010的专栏
05-29 417
而且是import的时候就报错,还用pdb搞了一下。经过把问题文件的import都删除再恢复最终发现是import angr出了问题。网上找了各ply装上,结果又报错。经过网上一顿搜索,最终解决。
angr找到strcpy的栈溢出漏洞
^_^
06-29 848
这篇文章其实是分析angr文档里给出的一个挖漏洞的小例子。 原文链接在此:https://docs.angr.io/examples#beginner-vulnerability-discovery-example-strcpy_find 这是第一个用angr在二进制里找可利用条件的教程。第一个例子是一个非常简单的程序。这个angr脚本会从程序的entry到strcpy找到一条路径。(只有我们能够控制strcpy的参数的时候) 为了找到正确的路径,angr需要去算一个密码参数,算这个密码,angr只要2s
ctf zeratool ret
llrraa2010的专栏
06-03 137
【代码】ctf zeratool ret。
使用angr进行静态分析和符号执行
04-25
使用angr进行静态分析和符号执行
符号执行angr解ctf逆向题组
12-28
从解ctf逆向题目学习符号执行,如果你想玩它们,看看package.py,
z3_and_angr_binary_analysis_workshop:z3 和 angr 研讨会的代码和练习
05-31
使用 Z3 和 angr 进行二元分析介绍该研讨会最初由Sam Brown在Steelcon和hack.lu 2018上发布,为期3小时,向与会者介绍如何使用Z3和angr进行二进制分析。 研讨会介绍了 SMT 求解器、Z3 SMT 求解器及其 Python 库和 ...
【技术分享】源码解析angr的模拟执行 .pdf
09-05
【技术分享】源码解析angr的模拟执行 安全运营 安全研究 安全管理 安全架构 信息安全
pitchfork:使用基于Angr符号执行来检测Spectre漏洞(github.comangrangr
05-02
Pitchfork是一个基于的静态分析工具,可以执行推测性符号执行。 即,它不仅执行程序的“正确”或“顺序”路径,而且还执行“错误预测”或“推测”路径,这取决于某些推测窗口的大小。 Pitchfork会找到在地址计算或...
angr使用[4]--用angr测试漏洞是否可用
九层台
01-04 833
0x15测试流程 设初始状态:  设置hook函数,声明要获取输入的变量 设置成功失败状态: 检查运行到某一地址时内存数据的值,可以用copied_state = state.copy() 探测之后添加限制条件来检查最终结果是否符合要求 解析成功数据:对声明的变量解析得到输入,解析得到格式化输入,添加限制条件解析出来最终的值 #检测程序漏洞,并且检测这个漏洞能否被利用 import angr...
漏洞挖掘篇(进阶·下)
m0_57929980的博客
06-23 1386
漏洞挖掘篇(进阶·下):介绍符号执行技术、污点传播分析技术
二进制漏洞挖掘angr‘s Reaching Definition Analysis(二)
weixin_44229639的博客
12-25 813
如何编写一个函数处理程序来模拟一个函数对分析状态的影响? 结合angr的Reaching Definition Analysis,处理静态分析期间的函数调用。 相关实验表明,该方法已经在DLink、ProLink等路由器上发挥重要的作用。
【技术分享】angr:基于python的二进制分析框架
weixin_42016744的博客
07-06 1167
作者:desword 预估稿费:200RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0.前言 来看看这个集成框架在二进制代码分析的CTF中解决过哪些问题吧,下面是git中列举的解决过的CTF赛题: 其中,HackCon 2016 – angry-reverser花费31 min,SecurityFest 2016 – fairlight花费20s,Defcamp CTF Qualification 2015 – Reversing 100和Reve.
Angr 从入门到放弃(二)
weixin_46483787的博客
05-11 490
本篇直接以一个例子来进一步学习angr在CTF比赛中的实战 2021年SCTF上的checkin(虽然叫checkin但是并不是很checkin就是了) 这是一个auto pwn,每次连上去先进行一个sha256的验证,然后会给出一大段base64加密后的数据,接收下来然后解密并保存成二进制文件,是一个ELF格式的可执行程序,拖进ida里面会发现,程序逻辑很简单但是量很大,通过不断的读入字符串和数字,然后对数据进行异或,异或之后再和一些固定数据比较,根据比较结果进行跳转。并且每次连上去拿到的程序不一样,要求
二进制漏洞挖掘angr‘s Reaching Definition Analysis(一)
weixin_44229639的博客
12-24 930
程序中变量之间的依赖关系,是程序分析中不可忽略的要素。在二进制程序中,我们可以通过使用angr中的Reaching Definition Analysis方法,对变量的来源进行追踪,从而达到漏洞检测、恶意数据溯源等目的。
angr中支持蒙特卡洛树搜索策略进行路径探索吗
06-10
是的,angr 中支持使用蒙特卡洛树搜索(Monte Carlo Tree Search,MCTS)策略进行路径探索。具体来说,angr 提供了一个名为 MCTSExplorer 的探索技术,可以使用蒙特卡洛树搜索策略来探索程序路径。MCTSExplorer 技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值