buuctf刷题记录25 [WUSTCTF2020]funnyre

太巧了,昨天刚看了有关angr的视频今天就碰到有关的题目了

这道题考察两点吧:1.简单的花指令去除 2.在有限域上简化

无壳,ida64打开,发现不能f5,而且也没有main函数,判断应该是用了混淆

从上往下看汇编代码,找到第一处问题

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QtFwEBUA-1596279075059)(D:\markdown\文件\图片\7.28.1.png)]

这里jz和jnz一看就有问题,下面的数据也是胡扯,然后下面的这些没标红的地方都是一个样

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1EVqTfL3-1596279075061)(D:\markdown\文件\图片\7.28.2.png)]

应该吧上面错误的地方改成下面的样子,大概有四五处吧,nop掉,p声明函数,得声明两处

然后f5得到反编译

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZBgm93EI-1596279075062)(D:\markdown\文件\图片\7.28.3.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-REhbr2u5-1596279075063)(D:\markdown\文件\图片\7.28.4.png)]

定义了300多个变量,进行了好多好多运算,直接算肯定是算不出来的,

然后就想到符号执行

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UqXjKrqK-1596279075064)(D:\markdown\文件\图片\7.28.5.png)]

正好昨天学了点angr,算是一次练习吧

更多angr的内容可以参考

[]: https://www.jianshu.com/p/5df6c4567a7d

就构造脚本

import angr
import claripy

p=angr.Project('./attachment',load_options={"auto_load_libs": False})
f=p.factory
state = f.entry_state(addr=0x400605)#设置state开始运行时的地址
flag = claripy.BVS('flag',8*32)#要求的内容有32个,用BVS转成二进制给flag变量
state.memory.store(0x603055+0x300+5,flag)#因为程序没有输入,所以直接把字符串设置到内存
state.regs.rdx=0x603055+0x300
state.regs.rdi=0x603055+0x300+5#然后设置两个寄存器

sm = p.factory.simulation_manager(state)#准备从state开始遍历路径


print("ready")

sm.explore(find=0x401DAE)#遍历到成功的地址

if sm.found:
    print("sucess")
    x=sm.found[0].solver.eval(flag,cast_to=bytes)
    print(x)
else:
    print('error')

得到[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cbEPdsny-1596279075066)(D:\markdown\文件\图片\7.28.6.png)]

flag为 flag{1dc20f6e3d497d15cef47d9a66d6f1af}

©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页