Angr 从入门到放弃(三)

最新推荐文章于 2024-07-18 09:55:17 发布
最新推荐文章于 2024-07-18 09:55:17 发布
阅读量265 收藏
点赞数
分类专栏: auto pwn 文章标签: linux pwn bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124723483
版权

之前我们已经学习了angr的基础操作,比如怎样建立约束模拟器,怎样添加避免执行地址,怎样把创建符号化变量,怎样读取或指定寄存器的值,怎样设置程序符号执行的目标地址,怎样hook一个地址或者直接重写某一个函数,怎样添加寄存器约束条件的,本篇文章将继续学习一些angr的基础操作。

通过标准输出来指定目标地址

试想如果一个程序会打印good或者bad,但是有很多个地方都打印了good,也有很多个地方都打印了bad,这就无法通过指定某一个地址来让模拟器跑,至于avoid,虽然也可以手动的将所有打印bad的地址都加进去,但是很麻烦,这个时候可以怎么来做呢,就是根据标准输出来判断是target还是avoid

import sys
import angr

def main(argv):
    path_to_binary = '../program/02_angr_find_condition'
    project = angr.Project(path_to_binary)
    initial_state = project.factory.entry_state()
    simulation = project.factory.simgr(initial_state)

    def good_job(state):
      stdout_output = state.posix.dumps(sys.stdout.fileno())

      return 'Good Job' in str(stdout_output)

    def try_again(state): 
      stdout_output = state.posix.dumps(sys.stdout.fileno())
    
      return 'Try again' in str(stdout_output)

    simulation.explore(find=good_job, avoid=try_again) 

    if simulation.found:
        solution_state = simulation.found[0]
        print(solution_state.posix.dumps(sys.stdin.fileno()))
    else:
        raise Exception('Could not find solution')
    
if __name__ == '__main__':
    main(sys.argv)

可以发现,find和avoid都是支持函数参数的,可以直接将一个返回True或False的函数赋给这两个参数,而state.posix.dumps(1)抓取的就是标准输出所以两个函数直接判断想要的字符串是否在标准输出中出现即可完成判断

指定运行起始地址并指定寄存器的值

有些时候函数会输入一些参数,然后根据这些参数执行一些加解密逻辑,此时我们直接将程序地址指定到加解密逻辑之前,然后把用到的寄存器赋予一些符号化变量,然后直接执行即可

import sys
import angr
import claripy

def main():
    binary_path = '../program/03_angr_symbolic_registers'
    project = angr.Project(binary_path)
	
    # 设置项目开始地址
    start_addr = 0x0804890E
    initial_state = project.factory.blank_state(addr=start_addr)
	
    
   # 将寄存器符号化
    bit_length = 32
    psd0 = claripy.BVS('psd0', bit_length)
    psd1 = claripy.BVS('psd1', bit_length)
    psd2 = claripy.BVS('psd2', bit_length)

    initial_state.regs.eax = psd0
    initial_state.regs.ebx = psd1
    initial_state.regs.edx = psd2

    simulation = project.factory.simgr(initial_state)

    def good_job(state):
        stdout_content = state.posix.dumps(sys.stdout.fileno())
        return b'Good Job.' in stdout_content

    def fail(state):
        stdout_content = state.posix.dumps(sys.stdout.fileno())
        return b'Try again.' in stdout_content

    simulation.explore(find=good_job, avoid=fail)
    
    if simulation.found:
        solution_state = simulation.found[0]
        solution0 = solution_state.se.eval(psd0)
        solution1 = solution_state.se.eval(psd1)
        solution2 = solution_state.se.eval(psd2)

        solution = '%x %x %x' % (solution0, solution1, solution2)
        print(solution)
    else:
        raise Exception('Could not find the solution')
            
if __name__ == '__main__':
    main()

本道题就是用到了eax,ebx,edx三个寄存器,所以直接符号化好三个变量然后给到三个寄存器,同时不再采用以前常用的entry_state,而是通过project.factory.blank_state(addr=start_addr)直接指定开始模拟的地址为start_addr

符号化栈空间

如果还是上面那种情况,只不过参数从在寄存器里变成了在栈上,该如何符号化呢?
核心操作如下

initial_state.regs.ebp = initial_state.regs.esp # 初始化栈,令ebp等于esp

padding_length_in_bytes = 0xC # 填充栈
initial_state.regs.esp -= padding_length_in_bytes 

initial_state.stack_push(password0) # 将位向量压入栈中

还是新建一个blank_state,初始化栈空间其实就是让esp等于ebp,然后再拉高esp的过程,程序在真实运行的时候也是这样做的,然后将所需参数符号化以后压进栈的指定位置中,只要和程序真实的栈布局相同即可

符号化内存

如果又是上面那种情况,只不过参数从栈上变成了在bss段上,该如何符号化呢?
核心操作如下:

password0 = claripy.BVS('password0', 64) # 64 = 8(8个字符) * 1(每个字符一字节) * 8(每个字节8比特)
    password1 = claripy.BVS('password1', 64)
    password2 = claripy.BVS('password2', 64)
    password3 = claripy.BVS('password3', 64)

    password0_addr = 0x09FD92A0
    password1_addr = 0x09FD92A8
    password2_addr = 0x09FD92B0
    password3_addr = 0x09FD92B8

    initial_state.memory.store(password0_addr, password0) # 将位向量存入内存
    initial_state.memory.store(password1_addr, password1)
    initial_state.memory.store(password2_addr, password2)
    initial_state.memory.store(password3_addr, password3)

这里可以看到,其实就是把符号化好的变量通过memory.store存到指定的内存地址上即可

符号化文件

有时候程序会打开某个文件并读取内容,所以还需要知道如何来符号化一个文件

filename = 'MRXJKZYR.txt' # 文件名称
    symbolic_file_size_bytes = 64 # 文件大小(字节)

    password = claripy.BVS('password', symbolic_file_size_bytes * 8) # 初始化位向量
    password_file = angr.SimFile(filename, content=password, size=symbolic_file_size_bytes) # 符号化文件

    initial_state = project.factory.blank_state(addr=start_addr, fs={filename: password_file}) # 再初始状态中添加一个虚拟的文件系统

可以看到这里其实angr是有提供接口的,设置好文件的大小和内容,然后再创建blank_state的时候指定一个文件系统fs,然后以字典的形式存储文件名和由SimFile创建出来的文件对象即可。

如何自动合并路径

当路径很多很复杂的时候,可以开启一个angr的选项
simulation = project.factory.simgr(initial_state, veritesting=True)

Ayakaaaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angr源码分析——库函数识别identify
doudoudouzoule的博客
08-09 2875
在识别代码的同源性时,多数情况下采用的方法是依赖于代码本身的数据特征例如Flirt技术的前32位字节码,函数crc;diaphora的fuzzing hash等。而在二进制代码中,不同的编译环境或库版本都会对最终生成的库函数的代码带来巨大的变化,导致依赖于数据特征的库函数识别技术识别率极低,或者干脆无用。那么此时为了识别一个函数我们需要依赖的就是函数的语义。 函数语义代表这个函数做了什么,而不是...
angr理论笔记()program state
weixin_46521144的博客
09-04 461
program state 在之前几章中,主要学习的是simulate state也就是模拟状态的程序运行状态。接下来将要学习的是state object也就是状态这个对象的性质(包含但不限于simulate state),并且学习如何和这个对象进行交互。 基本执行 首先简单介绍一下simulator的一些性质,具体性质将在下一章介绍。这里简单介绍一些性质。 state.step()执行符号执行的一步,并返回一个simsuccessors 和一般程序流执行不同,符号执行的一步将会返回许多结果,可以分为多种类
Angr学习(3)
Misaka10046的博客
10-20 301
CLE模块 CLE组件是angr中加载二进制文件的组件,是angr中的加载器。之前了解了下这个模块,现在来深入学习下怎么与loader交互。 >>> hex(p.loader.main_object.min_addr) '0x400000' >>> hex(p.loader.main_object.max_addr)//获取最低地址和最高地址 '0x601077' >>> p.loader.main_object.segments <Regions
angr学习与记录(二:寄存器、栈和内存设置)
m0_49936845的博客
09-22 458
03_angr_symbolic_registers 输入值在寄存器设置 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx int v4; // eax int v5; // edx int v6; // ST1C_4 int v7; // ST14_4 unsigned int v9; // [esp+8h] [ebp-10h] int v10; // [esp+C
angr学习[1]简单加载程序分析,设置寄存器
九层台
06-28 1300
0x01简介 之前学了一些但是后来没有跟进,慢慢忘了,最近找到一个比较好的学习github项目,系统地重新学一下 angr是一种模糊执行工具,不是太清楚怎么做的但是比直接爆破要好很多就对了。 并且angr提供了一个强大的功能,可以加载分析人以平台下的二进制文件。 原github项目地址 https://github.com/jakespringer/angr_ctf 下面的代码会给出两部分 1.官...
angr学习笔记(4) (寄存器符号化)
寻梦&之璐
04-11 1893
文章目录拖入ida脚本:验证 拖入ida 汇编代码为: .text:0804890C push ebp .text:0804890D mov ebp, esp .text:0804890F sub esp, 18h .text:08048912 mov ecx, large gs:14h .text:08048919 mov [ebp+var_C], ecx .text:0804891C xor ecx, ecx .text:0804891E lea
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
但是,对于初学者来说,angr有点困难,因为它从版本7更新到了版本8。而且许多CTF中有关angr的出色教程都无法正常运行。 我根据此幻想教程 , 和,使用此git repo记录了我对angr学习经验。 非常感谢他们。 我希望...
符号执行angr解ctf逆向题组
12-28
`angr`是一个强大的开源软件分析平台,它支持符号执行、动态二进制分析和多种反调试技术,使得开发者和安全研究者能够深入理解二进制代码。 `angr`库是用Python编写的,它的核心功能包括: 1. **状态管理**:`angr`...
程序分析理论-angr
05-08
论文(State of)The Art of War: Offensive Techniques in Binary Analysis介绍ppt
angr在windows上安装相关文件
02-15
angr依赖于Python 3.6或更高版本,因此请确保你的系统中已经安装了Python,并且将其添加到PATH环境变量中。可以访问Python官网下载最新版本的Python安装程序,并选择自定义安装,勾选"Add Python to PATH"选项。 接...
angr-doc:Angr套件的文档
04-29
将二进制文件加载到分析程序中。 将二进制文件转换为中间表示(IR)。 进行实际分析。 可能是: 部分或全部程序静态分析(即,依赖性分析,程序切片)。 对程序状态空间的象征性探索(即,“我们可以在发现溢出...
Angr源码分析——SimState类
zhuzhuzhu22的博客
05-23 1635
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。0x00 官方API说明和SimState的构建函数       在前面一篇博客中,我们介绍了Angr的一种简单地使用方法。再接下来的几天中,我阅读了Angr的部分源码,包括factory类、Angr.Project类(新建工程的过程)、cle.Loade...
angr学习[5]--代码整理(总结)
九层台
01-04 1200
0x01探索模板 import angr import claripy import sys def main(argv): path_to_binary = "15_angr_arbitrary_read" project = angr.Project(path_to_binary) # You can either use a blank state or an entry ...
angr学习笔记(8)(文件内容符号化)
寻梦&之璐
04-13 2005
文章目录拖入ida脚本验证: 拖入ida 脚本 import sys import angr def main(argv): bin_path=argv[1] p=angr.Project(bin_path) start_addr=0x080488D6 init_state=p.factory.blank_state(addr=start_addr) filename='OJKSQYDP.txt' file_size=0x40 pass
angr 学习笔记
sky123博客
04-26 1486
附件,参考1,参考2 符号执行原理 基本概念 即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。 符号状态(Symbolic State) 当前状态所有参数的集合,用 σσσ 表示。集合中的每个元素用表示初始参数的变量表示。 路径约束(Path Constraint) 到达当前路径需要表示初始参数满足的关系,通常用 PC 表示。 例如下面的程序: #include <bits/stdc++.h> using namespace std;
Angr入门放弃(一)
weixin_46483787的博客
05-11 1322
libfuzzer那个系列先放一放吧,学了学感觉也没有比AFL好用很多,所以重复性较高的东西先不着急学了吧,这里开个新坑,为了做同学出的一道auto pwn,来学学angr 基础知识 首先了解一下什么是符号执行: 传统符号执行 传统的符号执行一般是静态的,即将具体的输入值抽象成符号,执行完之后再根据符号结果解方程,举个例子就会好懂很多 a=input() b=3+a c=2*b if(c*2+4==9): win() else: lose() 对于上述代码,正常的程序执行是给a赋一个实际值,然后经
Linux -软件安装
最新发布
z2331198564653的博客
07-18 884
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 574
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
angr框架reverse
10-16
在使用angr框架时,需要先将二进制程序加载到angr中,然后通过angr提供的API来进行符号执行。 在使用angr框架时,需要注意以下几点: 1. 需要对二进制程序进行静态分析,以便了解程序的结构和功能。 2. 需要对程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值