re -16 buuctf [网鼎杯 2020 青龙组]singal(angr使用)

最新推荐文章于 2024-06-06 21:13:01 发布
最新推荐文章于 2024-06-06 21:13:01 发布
阅读量524 收藏 1
点赞数
分类专栏: re 文章标签: r语言 开发语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45847059/article/details/121499464
版权

[网鼎杯 2020 青龙组]singal

前话:先记录下angr的使用。参考了大佬的文章:https://blog.csdn.net/Breeze_CAT/article/details/106139253
在cmd中使用,不能在pycharm中使用。

>>> import angr
>>> p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe') #地址前必须加r
>>> state = p.factory.entry_state()
>>> simgr = p.factory.simgr(state)
>>> simgr.explore(find=0x004017A5 ,avoid=0x004016E6)	#这行之后会进行运算
>>> flag = simgr.found[0].posix.dumps(0)[:15]
>>> print(flag)
b'757515121f3d478'

正文:
在这里插入图片描述
在这里插入图片描述
打开ida后发现unk_403040赋值给v4,然后跟进unk_403040,先拿到v4数组
在这里插入图片描述

根据vm_operad逻辑,发现不断通过switch()去进行各种操作。大致梳理一下该函数与a1数组的值发现,case 10只在a1[0]触发一次,等价于scanf,读入的字符串在str[],case 2,3,4,5将当前a1值与其后一位的值一起去对v4的值进行修改,case 6就直接跳过,case 8以v4的值更新str[],case 11,12直接修改v4,case 1将处理好的v4赋值到Str[v6 + 100](其实视为一个新的数组)并且处理str[]中的下一个字符,case 7 就是一部检验。
总结一下,其实就是把输入的字符串,从第一个开始处理,处理完的结果由v4赋值给Str[v6 + 100],等每一个都处理完,就开始检验是否正确。
在这里插入图片描述
而对于a1中的数据只有后15行有7,所以可以将处理后的数据拿出:
b = [0x00000022 ,0x0000003F ,0x00000034 ,0x00000032 ,0x00000072 ,0x00000033 ,0x00000018 ,0x00000A7 ,0x00000031 ,0x00000F1 ,0x00000028 ,0x0000084 ,0x00000C1 ,0x0000001E ,0x0000007A ]
在这里插入图片描述

在这里插入图片描述

对于源代码有一个LOBYTE其实就是选取最低为的字节,跟据汇编可以看出赋值存在于al(8位),其实也就是一个字节,所以LOBYTE无影响
而每一次case1其实就可以看作一次处理完成,所以我们将每一个a1[]中的元素1,当成分界点,有说明一下如果1之前的元素为2,3,4,5那它不会做为switch的参数(在这里卡了好久)。
正向写脚本爆破比较好写,直接上脚本了:

b = [0x00000022  ,0x0000003F  ,0x00000034  ,0x00000032  ,0x00000072  ,0x00000033  ,0x00000018  ,0x00000A7  ,0x00000031  ,0x00000F1  ,0x00000028  ,0x0000084  ,0x00000C1  ,0x0000001E  ,0x0000007A  ]

a = []

aa = [[0x0000000A,0x00000004,0x00000010,0x00000008,0x00000003,0x00000005,0x00000001],
[0x00000004,0x00000020,0x00000008,0x00000005,0x00000003,0x00000001],
[0x00000003,0x00000002,0x00000008,0x0000000B,0x00000001],
[0x0000000C,0x00000008,0x00000004,0x00000004,0x00000001],
[0x00000005,0x00000003,0x00000008,0x00000003,0x00000021,0x00000001],
[0x0000000B,0x00000008,0x0000000B,0x00000001],
[0x00000004,0x00000009,0x00000008,0x00000003,0x00000020,0x00000001],
[0x00000002,0x00000051,0x00000008,0x00000004,0x00000024,0x00000001],
[0x0000000C,0x00000008,0x0000000B,0x00000001],
[0x00000005,0x00000002,0x00000008,0x00000002,0x00000025,0x00000001],
[0x00000002,0x00000036,0x00000008,0x00000004,0x00000041,0x00000001],
[0x00000002,0x00000020,0x00000008,0x00000005,0x00000001,0x00000001],
[0x00000005,0x00000003,0x00000008,0x00000002,0x00000025,0x00000001],
[0x00000004,0x00000009,0x00000008,0x00000003,0x00000020,0x00000001],
[0x00000002,0x00000041,0x00000008,0x0000000C,0x00000001]
]

flag = []
v9 = 0
cnt = 0
v4 = 0
ans =0
bi = 0
for j in range(15):
    a = aa[j]
    v4 = 0
    bi = 0
    for i in range(128):
        if bi == 1:
            break
        v9 = 0
        v4 = 0
        ans = i
        while True:
            if a[v9] == 1:
                if v4 == b[cnt]:
                    cnt += 1
                    bi = 1
                    print(chr(i),end='')
                    break
                else:
                    break
            elif a[v9] == 2:
                v4 = a[v9 + 1] + ans
                v9 += 2
            elif a[v9] == 3:
                v4 = ans - a[v9 + 1]
                v9 += 2
            elif a[v9] == 4:
                v4 = a[v9 + 1] ^ ans
                v9 += 2
            elif a[v9] == 5:
                v4 = a[v9 + 1] * ans
                v9 += 2
            elif a[v9] == 6:
                v9 += 1
            elif a[v9] == 8:
                ans = v4
                v9 += 1
            elif a[v9] == 10:
                v9 += 1
            elif a[v9] == 11:
                v4 = ans - 1
                v9 += 1
            elif a[v9] == 12:
                v4 = ans + 1
                v9 += 1

看大佬的wp,get了一项新技能----符号执行自动秒题。
找到能够证明运行成功的地址:
在这里插入图片描述
运行到此处则证明,运算正确
再找一下运行失败的点:
在这里插入图片描述
运行到此处则,输入不正确
于是构造语句:

simgr.explore(find=0x004017A5 ,avoid=0x004016E6)

导入angr跑的程序,windows环境下要加r不然会报错

p = angr.Project(r’C:\Users\ASUS\Desktop\signal.exe’)

新建一个SimState的对象,得到一个初始化到二进制入口函数的SimState对象。

state = p.factory.entry_state()

创建simulation manager,angr的主要入口

simgr = p.factory.simgr(state)

完整脚本

import angr

p = angr.Project(r'C:\Users\ASUS\Desktop\signal.exe')  
state = p.factory.entry_state()  
simgr = p.factory.simgr(state)  
simgr.explore(find=0x004017A5 ,avoid=0x004016E6)  
flag = simgr.found[0].posix.dumps(0)[:15]    
print(flag)

参考博客:https://blog.csdn.net/Breeze_CAT/article/details/106139253

!baiyian123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-[网鼎杯 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 446
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
[网鼎杯 2020 青龙]singal详细题解--VMP 直接逆向,angr模拟执行,ponce符号化
OrientalGlass的博客
09-12 1567
按F9,运行到第二个断点,查看流程图,对着jz指令右键 SMT Solver>Negate and Inject to reach。可以在每条指令处加上打印语句获取指令执行顺序,这个操作仅能大概看一下执行流,自动解密不能靠这个。不获取这个data数也没问题,因为数据保存在opcode数中,只要执行流正确就可以。主函数并不复杂,关键内容在vm_opcode中,先提取出main函数中的opcode。如果是赋值14,使用后自减,中间变量chr先赋值后,xyzj等的值变成13。
[网鼎杯 2020 青龙]singal
最新发布
Nike_name的博客
06-06 392
angr符号执行
网鼎杯jocker&signal(angr
2301_81223471的博客
04-09 817
看了这个函数我们可以知道是这个函数出现了问题,它retf的数据为 0x4904 正常函数执行之后要返回调用这个函数的下一条指令,这样我们就知道了这里为什么会出现错误。它可以使指定的虚拟内存区域变为可读,可写,可执行,也可设置为不可访问,从而保护该区域。angr是一个支持多处理架构用于二进制分析的工具,它提供了动态符号执行的能力和多种静态分析的能力。符号执行,初始参数用变量替换,模拟程序的执行流程,维护执行到各个位置时的状态。第四个为指向变量的指针,这个变量接受指定区域的第一页的先前访问保护值。
网鼎杯第一场 部分re crypto pwn 题解
qq_41071646的博客
05-11 1233
这次没想到还拿了一道re的一血、 题目名称 re bang 一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把梭,然后直接反编译 发现flag 拿到了一血,, 题目名称 re signal 这个题目 自己实现了vm 自己写了一个脚本(不要吐槽我的拼音,当时有点着急 就没有想那么多) 自己写了一个python代码模拟了一下 lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4..
[网鼎杯 2020 青龙]singal 1
qq_24481913的博客
12-01 507
在主函数中找到了一个vm的译码器,译码器主要是解释传入的opcode,然后对我们输入的字符操作,这里我们发现他是单字节比较的,方法很多可以使用单字节映射,也可以是使用符号化执行,当然也可以硬着头皮去看。
AngryGhidra:在吉德拉使用angr
03-22
愤怒的吉德拉 ...使用gradle构建扩展名: GHIDRA_INSTALL_DIR=${GHIDRA_HOME} gradle并使用Ghidra进行安装: File → Install Extensions... 将此存储\Ghidra\Extensions到\Ghidra\Extensions目录。
symbolic-execution-tutorial:符号执行教程。 动手练习基于angr框架
02-06
2020年5月16日修订版: 修订版2019-12-05: 修订2018-11-29: 动手 建立 请参阅 。 幻灯片范例 您可以在slide-example目录中找到源代码,二进制文件(Linux x86_64)和angr脚本。 必须自定义solve-example.py ,...
angr-cli:回购各种angr ipython功能,以使其具有更多的cli感觉
03-07
如果要对此进行开发安装,请在激活angr虚拟环境后在您选择的文件夹(例如angr-dev库)中运行它 git clone https://github.com/fmagin/angr-cli.git cd angr-cli pip install -e ./ 一般用法 导入和设置所有功能: ...
符号执行angr解ctf逆向题
12-28
符号执行是一种在软件分析和逆向工程中广泛使用的高级技术,尤其在解决CTF(Capture The Flag)竞赛中的逆向题目时。它主要用于探索程序的所有可能执行路径,从而理解和分析程序的行为。`angr`是一个强大的开源软件...
angr-only-z3-custom-9002.tar.gz
02-23
angr-only-z3-custom-9002:利用Z3进行程序分析与验证的深度探索》 在软件安全和逆向工程领域,angr和Z3是两个至关重要的工具。"angr-only-z3-custom-9002.tar.gz"这个压缩包,很可能包含了针对angr框架定制的Z3...
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
网鼎杯2020-reverse---signal
YANG12345_6的博客
05-17 1037
reverse signal 第一次接触虚拟机逆向,还不太清楚虚拟机逆向的原理等等,如有错误,请指正。 拖进ida查看伪代码: main函数: qmemcpy 给v4赋值,赋值内容是unk_403040函数,再看这个函数的内容: 是这一大段数据 再看vm_operad函数:这个函数里用到了403040函数,为了方便,将这个函数称作a1函数。 vm_operad函数里都是witch-case函数 因为v10,v9.。。太难辨认了,把它们分别改成了i、j、k、m、n 看case语句: case1: 赋值,
BUUCTF_[网鼎杯 2020 青龙]singal
qq_45149832的博客
09-22 1190
BUUCTF_[网鼎杯 2020 青龙]singal
2020网鼎杯 青龙 逆向signal
lhk124的博客
11-25 630
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
angr学习(四)
weixin_30561177的博客
11-25 117
例子中脚本解释: 0ctf_momo_3 脚本解释 脚本思路 由于程序对输入验证是单字符比较,可以用爆破的方式,由于mov混淆不具有变异特性,验证分支入口特点明显,有以下三个: edx, dword ptr [edx*4 + 0x81fe260] al, byte ptr [0x81fe6e0] dl, byte ptr [0x81fe6e4] 将所有的验证分支存储起...
buuctf————[网鼎杯 2020 青龙]singal
yhfgs的博客
10-18 231
1.查壳。 无壳,32位。 2.IDA反编译 可以看到主函数中关键函数为:vm_operad(), 逻辑就是:用switch分层加密,加密的结果为a1中7值之后的东西。(没太搞懂) 3.解密(我学的太菜了,脚本没写出来,手撸的。) 4.get flag flag{757515121f3d478} ...
wdb ctf re
qianmengfusheng的博客
05-11 243
一共有四道re题,两题apk,两题exe apk本菜鸡完全不会,过了过了 然后就是 signal 这题就是一个 switch 用switch把操作分离,然后用一串数据来实现类似指令的效果,从而实现功能 首先找到输入字符串 char a[] = { 0x0A,0x00,0x00,0x00,0x04,0x00,0x00,0x00,0x10,0x00,0x00,0x00,0x08,0x00,0x00,0x00, 0x03,0x00,0x00,0x00,0x05,0x00,0x00,0x00,...
2020网鼎杯 逆向 signal
BengDouLove的博客
05-11 1433
先分析一下程序 main函数进来是这样,__main()好像没什么用,之后把 0x403040位置的东西复制到v4变量,之后vm_operad函数又将v4传了进去。 先看一下 0x403040 位置是什么 是很多四字节为单位的数,之后会用到 进去 vm_operad 函数之后可以看见,之前传进来的 v4 现在是 a1 ,也就是 0x403040那个位置的数用a1来表示 粗略的看一下,有 what a shame 这样的字符串,所以应该是要比较字符 再仔细分析程序,switch 这里用的参数是
请写出使用angr查找程序分支数的代码
06-08
以下是使用Angr查找程序分支数的代码示例: ```python import angr # 创建一个Angr项目对象 project = angr.Project('/path/to/binary', load_options={'auto_load_libs':False}) # 获取程序的入口点地址 entry_point = project.loader.main_object.get_symbol('main').rebased_addr # 创建一个Angr状态对象 state = project.factory.blank_state(addr=entry_point) # 开始符号执行 simulation = project.factory.simgr(state) # 对程序进行符号执行,直到所有分支都被探索 simulation.run() # 输出程序分支数 print("程序分支数为:", len(simulation.deadended)) ``` 这段代码创建了一个Angr项目对象,并使用它来进行符号执行。在符号执行过程中,Angr会自动探索所有可能的程序分支,并将其存储在一个simulation对象中。最后,我们可以通过查看simulation对象中的deadended属性来获取程序的分支数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值