angr脚本——以angrctf解题记录为参考

​ angr是用于逆向工程中进行二进制分析的一个python框架

​ 符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代码时,分析器可以得到相应的路径约束,然后通过约束求解器来得到可以触发目标代码的具体值。

​ 以下脚本均用Python3执行,在笔者Ubuntu16.04虚拟机上通过,且能够得到正确的结果

0x00.白给题,简单脚本

  1. import angr
  3. p = angr.Project("./00_angr_find")
  4. init_state = p.factory.entry_state()
  5. sm = p.factory.simulation_manager(init_state)
  6. sm.explore(find=0x08048678)  # 输出GoodJob的地方
  7. found_state = sm.found[0]
  8. found_state.posix.dumps(0)  # 标准输入

0x01.增加限制条件——explore函数中find和avoid的使用

  1. import angr
  2. import sys
  4. def main(argv):
  5.   path_to_binary = argv[1]
  6.   project = angr.Project(path_to_binary)
  7.   initial_state = project.factory.entry_state()
  8.   simulation = project.factory.simgr(initial_state)
  10.   # Explore the binary, but this time, instead of only looking for a state that
  11.   # reaches the print_good_address, also find a state that does not reach
  12.   # will_not_succeed_address. The binary is pretty large, to save you some time,
  13.   # everything you will need to look at is near the beginning of the address
  14.   # space.
  15.   # (!)
  16.   print_good_address = 0x080485e5
  17.   will_not_succeed_address = 0x080485a8
  18.   simulation.explore(find=print_good_address, avoid=will_not_succeed_address)
  20.   if simulation.found:
  21.     solution_state = simulation.found[0]
  22.     print (solution_state.posix.dumps(0))
  23.   else:
  24.     raise Exception('Could not find the solution')
  26. if __name__ == '__main__':
  27.   main(sys.argv)

0x02.find和avoid的进一步使用——以输出作为限制条件

  1.   project = angr.Project(path_to_binary)
  2.   initial_state = project.factory.entry_state()
  3.   simulation = project.factory.simgr(initial_state)
  5.   # Define a function that checks if you have found the state you are looking
  6.   # for.
  7.   def is_successful(state):
  8.     # Dump whatever has been printed out by the binary so far into a string.
  9.     stdout_output = state.posix.dumps(1)
  11.     # Return whether 'Good Job.' has been printed yet.
  12.     # (!)
  13.     return b'Good Job.' in stdout_output  # :boolean
  15.   # Same as above, but this time check if the state should abort. If you return
  16.   # False, Angr will continue to step the state. In this specific challenge, the
  17.   # only time at which you will know you should abort is when the program prints
  18.   # "Try again."
  19.   def should_abort(state):
  20.     stdout_output = state.posix.dumps(1)
  21.     return b'Try again.' in stdout_output  # :boolean
  23.   # Tell Angr to explore the binary and find any state that is_successful identfies
  24.   # as a successful state by returning True.
  25.   simulation.explore(find=is_successful, avoid=should_abort)
  27.   if simulation.found:
  28.     solution_state = simulation.found[0]
  29.     print(solution_state.posix.dumps(0))
  30.   else:
  31.     raise Exception('Could not find the solution')
  33. if __name__ == '__main__':
  34.   main(sys.argv)

0x03.寄存器符号化

  1. import angr
  2. import sys
  3. import claripy
  5. def main(argv):
  6.     bin_path = argv[1]
  7.     p = angr.Project(bin_path)  # 执行前的初始化工作,例如生成中间语言等
  9.     start_addr = 0x80488d1  # 指定程序入口地址
  10.     init_state = p.factory.blank_state(addr=start_addr)
  12.     pass1 = claripy.BVS('pass1', 32)  # 生成符号向量,前者为名称,后者为32/64位
  13.     pass2 = claripy.BVS('pass2', 32)
  14.     pass3 = claripy.BVS('pass3', 32)
  16.     init_state.regs.eax = pass1  # 设置初始状态时各寄存器的状态
  17.     init_state.regs.ebx = pass2
  18.     init_state.regs.edx = pass3
  20.     sm = p.factory.simulation_manager(init_state)  # 开始模拟执行
  22.     def is_good(state):
  23.         return b'Good Job' in state.posix.dumps(1)
  25.     def is_bad(state):
  26.         return b'Try again' in state.posix.dumps(1)
  28.     sm.explore(find=is_good, avoid=is_bad)  # 寻找结果
  30.     if sm.found:
  31.         found_state = sm.found[0]
  33.         password1 = found_state.solver.eval(pass1)  # 求出结果
  34.         password2 = found_state.solver.eval(pass2)
  35.         password3 = found_state.solver.eval(pass3)
  36.         print("Solution: {:x} {:x} {:x}".format(password1, password2, password3))
  37.     else:
  38.         raise Exception("No solution found")
  40. if __name__ == '__main__':
  41.     main(sys.argv)

0x04.栈符号化

  1. import angr
  2. import sys
  3. import claripy
  5. def main(argv):
  6.     bin_path = argv[1]
  7.     p = angr.Project(bin_path)  # 执行前的初始化工作,例如生成中间语言等
  9.     start_addr = 0x8048697  # 指定程序入口地址
  10.     init_state = p.factory.blank_state(addr=start_addr)  # 初始化状态
  12.     pass1 = claripy.BVS('pass1', 32)  # 生成符号向量,前者为名称,后者为32/64位
  13.     pass2 = claripy.BVS('pass2', 32)
  14.     # 对栈的模拟
  15.     #            /-------- The stack --------\
  16.     # ebp ->     |          padding          |
  17.     #            |---------------------------|
  18.     # ebp - 0x01 |       more padding        |
  19.     #            |---------------------------|
  20.     # ebp - 0x02 |     even more padding     |
  21.     #            |---------------------------|
  22.     #                        . . .               <- How much padding? Hint: how
  23.     #            |---------------------------|      many bytes is password0?
  24.     # ebp - 0x0b |   password0, second byte  |
  25.     #            |---------------------------|
  26.     # ebp - 0x0c |   password0, first byte   |
  27.     #            |---------------------------|
  28.     # ebp - 0x0d |   password1, last byte    |
  29.     #            |---------------------------|
  30.     #                        . . .
  31.     #            |---------------------------|
  32.     # ebp - 0x10 |   password1, first byte   |
  33.     #            |---------------------------|
  34.     #                        . . .
  35.     #            |---------------------------|
  36.     # esp ->     |                           |
  37.     #            \---------------------------/
  38.     #
  40.     padding_size = 8  # 栈中填充的长度,即输入的内容入栈时esp=ebp-0x08
  41.     # 对栈的情况进行模拟
  42.     # ebp是父ebp,保存完父函数ebp才开辟本函数栈空间,当函数执行完以后会有一个pop ebp恢复父函数ebp
  43.     # 但是因为我们要执行的代码与父函数无关,只用执行到find的地方就可以了,不用返回父函数接着执行,所以保存不保存父函数ebp都无所谓
  44.     # 即:ebp是上一个栈桢的栈基,在这个函数里,这个ebp的值是未知的,在这个angr程序里不会执行到在函数最后几条指令的pop ebp,自然也就不需要再push ebp
  45.     init_state.regs.ebp = init_state.regs.esp
  46.     init_state.regs.esp -= padding_size
  47.     # 模拟scanf的入栈过程
  48.     init_state.stack_push(pass1)
  49.     init_state.stack_push(pass2)
  51.     sm = p.factory.simulation_manager(init_state)  # 开始模拟执行
  53.     def is_good(state):
  54.         return b'Good Job' in state.posix.dumps(1)
  56.     def is_bad(state):
  57.         return b'Try again' in state.posix.dumps(1)
  59.     sm.explore(find=is_good, avoid=is_bad)  # 寻找结果
  61.     if sm.found:
  62.         found_state = sm.found[0]
  64.         password1 = found_state.solver.eval(pass1)  # 求出结果
  65.         password2 = found_state.solver.eval(pass2)
  66.         print("Solution: {} {}".format(password1, password2))
  67.     else:
  68.         raise Exception("No solution found")
  70. if __name__ == '__main__':
  71.     main(sys.argv)

0x05.静态内存符号化

  1. import angr
  2. import claripy
  3. import sys
  5. def main(argv):
  6.   path_to_binary = argv[1]
  7.   project = angr.Project(path_to_binary)
  9.   start_address = 0x8048606
  10.   initial_state = project.factory.blank_state(addr=start_address)
  12.   # The binary is calling scanf("%8s %8s %8s %8s").
  13.   # (!)
  14.   password0 = claripy.BVS('password0', 8*8)
  15.   password1 = claripy.BVS('password1', 8*8)
  16.   password2 = claripy.BVS('password2', 8*8)
  17.   password3 = claripy.BVS('password3', 8*8)
  19.   # Determine the address of the global variable to which scanf writes the user
  20.   # input. The function 'initial_state.memory.store(address, value)' will write
  21.   # 'value' (a bitvector) to 'address' (a memory location, as an integer.) The
  22.   # 'address' parameter can also be a bitvector (and can be symbolic!).
  23.   # (!)
  24.   password0_address = 0xa29faa0
  25.   initial_state.memory.store(password0_address, password0)
  26.   password1_address = 0xa29faa8
  27.   initial_state.memory.store(password1_address, password1)
  28.   password2_address = 0xa29fab0
  29.   initial_state.memory.store(password2_address, password2)
  30.   password3_address = 0xa29fab8
  31.   initial_state.memory.store(password3_address, password3)
  33.   simulation = project.factory.simgr(initial_state)
  35.   def is_successful(state):
  36.     stdout_output = state.posix.dumps(sys.stdout.fileno())
  37.     return b'Good Job.' in stdout_output
  39.   def should_abort(state):
  40.     stdout_output = state.posix.dumps(sys.stdout.fileno())
  41.     return b'Try again.' in stdout_output
  43.   simulation.explore(find=is_successful, avoid=should_abort)
  45.   if simulation.found:
  46.     solution_state = simulation.found[0]
  48.     # Solve for the symbolic values. We are trying to solve for a string.
  49.     # Therefore, we will use eval, with named parameter cast_to=str
  50.     # which returns a string instead of an integer.
  51.     # (!)
  52.     solution0 = solution_state.se.eval(password0,cast_to=bytes).decode("utf-8")
  53.     solution1 = solution_state.se.eval(password1,cast_to=bytes).decode("utf-8")
  54.     solution2 = solution_state.se.eval(password2,cast_to=bytes).decode("utf-8")
  55.     solution3 = solution_state.se.eval(password3,cast_to=bytes).decode("utf-8")
  57.     solution = ' '.join([ solution0, solution1, solution2, solution3 ])
  59.     print (solution)
  60.   else:
  61.     raise Exception('Could not find the solution')
  63. if __name__ == '__main__':
  64.   main(sys.argv)

0x06.动态内存符号化

  1. # malloc出来的内存地址是不确定的,但是,我们可以跳过malloc和scanf,给指针变量buffer一个指定的内存地址
  2. import angr
  3. import sys
  4. import claripy
  6. def main(argv):
  7.     bin_path = argv[1]
  8.     p = angr.Project(bin_path)
  10.     start_address = 0x0804869E  # 跳过malloc和scanf
  11.     init_state = p.factory.blank_state(addr=start_address)
  12.     buffer0 = 0x44444444  # 随便指定两块内存地址,存放符号化向量
  13.     buffer1 = 0x44444544
  14.     buffer0_addr = 0xa79a118  # 指向这两块内存地址的指针,存放他们的地址
  15.     buffer1_addr = 0xa79a120
  16.     # Note: by default, Angr stores integers in memory with big-endianness. To
  17.     # specify to use the endianness of your architecture, use the parameter
  18.     # endness=project.arch.memory_endness. On x86, this is little-endian.
  19.     # (!)
  20.     # 内存中的内容是小端序的,故要加上参数endness = p.arch.memory_endness,否则写入的地址是大端序的
  21.     init_state.memory.store(buffer0_addr, buffer0, endness=p.arch.memory_endness)
  22.     init_state.memory.store(buffer1_addr, buffer1, endness=p.arch.memory_endness)
  23.     # 存入符号向量
  24.     p0 = claripy.BVS('p0', 64)
  25.     p1 = claripy.BVS('p1', 64)
  26.     init_state.memory.store(buffer0, p0)
  27.     init_state.memory.store(buffer1, p1)
  29.     sm = p.factory.simulation_manager(init_state)
  31.     def is_successful(state):
  32.         return b'Good Job.' in state.posix.dumps(1)
  34.     def should_abort(state):
  35.         return b'Try again.' in state.posix.dumps(1)
  37.     sm.explore(find=is_successful, avoid=should_abort)
  39.     if sm.found:
  40.         solution = sm.found[0]
  41.         pass0 = solution.se.eval(p0, cast_to=bytes).decode("utf-8")
  42.         pass1 = solution.se.eval(p1, cast_to=bytes).decode("utf-8")
  43.         print("Solution: {} {}".format(pass0, pass1))
  44.     else:
  45.         raise Exception('Could not find the solution')
  47. if __name__ == '__main__':
  48.     main(sys.argv)

0x07.文件符号化

  1. import angr
  2. import sys
  3. import claripy
  5. def main(argv):
  6.     bin_path = argv[1]
  7.     p = angr.Project(bin_path)
  8.     # 从scanf及ignore_me后,memset前开始执行
  9.     start_addr = 0x80488de
  10.     init_state = p.factory.blank_state(addr=start_addr)
  12.     filename = "WCEXPXBW.txt"
  13.     filesize = 0x40
  14.     # 构造符号向量
  15.     password = init_state.solver.BVS("password", filesize*8)
  16.     # 构造符号化文件,SimFile函数用于构造文件信息,包括文件名,文件内容和文件大小
  17.     sim_file = angr.storage.SimFile(filename, content=password, size=filesize)
  18.     # 将符号化文件插入到初始状态中,angr.fs.insert是将文件插入到文件系统中,需要文件名与符号化的文件
  19.     init_state.fs.insert(filename, sim_file)
  20.     sm = p.factory.simgr(init_state)
  22.     def is_successful(state):
  23.         return b'Good Job.' in state.posix.dumps(1)
  25.     def should_abort(state):
  26.         return b'Try again.' in state.posix.dumps(1)
  28.     sm.explore(find=is_successful, avoid=should_abort)
  30.     if sm.found:
  31.         solution = sm.found[0]
  32.         password_str = solution.solver.eval(password, cast_to=bytes).decode("utf-8")
  33.         print("Solution: {} ".format(password_str))
  34.     else:
  35.         raise Exception('Could not find the solution')
  37. if __name__ == '__main__':
  38.     main(sys.argv)

0x08.增加约束条件解决路径爆炸问题

  1. import angr
  2. import sys
  3. def main(argv):
  4.     bin_path = argv[1]
  5.     p = angr.Project(bin_path)
  7.     start_addr = 0x0804862A
  8.     init_state = p.factory.blank_state(addr=start_addr)
  10.     buffer_addr = 0x0804A050
  11.     password = init_state.solver.BVS("password", 16*8)
  12.     init_state.memory.store(buffer_addr, password)
  14.     sm = p.factory.simgr(init_state)
  16.     check_addr = 0x08048565#此地址并非调用call check的地址,而是点进去看到的函数的代码段的起始地址
  17.     sm.explore(find=check_addr)#寻找各种到此函数的路径
  18.     if sm.found:
  19.         check_state = sm.found[0]
  20.         desired_string = "BWYRUBQCMVSBRGFU"
  21.         check_param1 = buffer_addr
  22.         check_param2 = 0x10
  23.         #从内存中把经过变化的buffer再取出来,进行后一步比较
  24.         check_bvs = check_state.memory.load(check_param1, check_param2)
  25.         check_constraint = desired_string == check_bvs
  26.         check_state.add_constraints(check_constraint)
  27.         password1 = check_state.solver.eval(password, cast_to=bytes).decode("utf-8")
  28.         print("Solution: {}".format(password1))
  30. if __name__ == '__main__':
  31.     main(sys.argv)

0x09.设置hook函数解决路径爆炸问题

  1. import angr
  2. import sys
  3. import claripy
  5. def main(argv):
  6.     bin_path = argv[1]
  7.     p = angr.Project(bin_path)
  8.     init_state = p.factory.entry_state()#从main函数开始,angr自动帮你处理输入
  9.     # Hook the address of where check_equals_ is called.
  10.     # (!)
  11.     check_addr = 0x080486B8#call check_equals这条指令的位置
  12.     check_skip_size = 5#
  13.     #自定义hook函数
  14.     @p.hook(check_addr, length = check_skip_size)#先指定call hook函数的位置,再指定call hook函数这条指令的大小
  15.     def check_hook(state):
  16.         user_input_addr = 0x0804A054
  17.         user_input_length = 16
  18.         user_input_bvs = state.memory.load(user_input_addr, user_input_length)#从指定的位置取出输入
  19.         desired_string = "XKSPZSJKJYQCQXZV"#我们想要的字符串
  20.         #hook函数的返回,返回值给到eax
  21.         state.regs.eax = claripy.If(desired_string == user_input_bvs, claripy.BVV(1, 32), claripy.BVV(0, 32))
  23.     def is_good(state):
  24.         return b'Good Job.' in state.posix.dumps(1)
  25.     def is_bad(state):
  26.         return b'Try again.' in state.posix.dumps(1)
  28.     sm = p.factory.simgr(init_state)
  29.     sm.explore(find=is_good, avoid=is_bad)
  31.     if sm.found:
  32.         found_state = sm.found[0]
  34.         print("Solution: {}".format(found_state.posix.dumps(0)))
  35.     else:
  36.         raise Exception("Solution Not found")
  38. if __name__ == '__main__':
  39.     main(sys.argv)

0x0A.hook所有同名函数

  1. import angr
  2. import sys
  3. import claripy
  5. def main(argv):
  6.     bin_path = argv[1]
  7.     p = angr.Project(bin_path)
  9.     init_state = p.factory.entry_state()
  10.     #将hook函数设置成一个类
  11.     class mySimPro(angr.SimProcedure):
  12.         def run(self, to_check, length):#传入用户输入的地址和输入长度
  13.             user_input_buffer_address = to_check
  14.             user_input_buffer_length = length
  15.             angr_bvs = self.state.memory.load(user_input_buffer_address, user_input_buffer_length)#让angr从内存中把输入的东西提取出来
  16.             desired = 'WQNDNKKWAWOLXBAC'
  17.             return claripy.If(desired == angr_bvs, claripy.BVV(1, 32), claripy.BVV(0, 32))
  19.     check_symbol = "check_equals_WQNDNKKWAWOLXBAC"#函数名称
  20.     p.hook_symbol(check_symbol, mySimPro())
  22.     sm = p.factory.simgr(init_state)
  24.     def is_good(state):
  25.         return b"Good Job" in state.posix.dumps(1)
  26.     def is_bad(state):
  27.         return b"Try again" in state.posix.dumps(1)
  28.     sm.explore(find=is_good, avoid=is_bad)
  30.     if sm.found:
  31.         found_state = sm.found[0]
  32.         password = found_state.posix.dumps(0)
  33.         print("Solution: {}".format(password.decode("utf-8")))
  34.     else:
  35.         raise Exception("Solution not found")
  37. if __name__ == '__main__':
  38.     main(sys.argv)

未完待续

angr脚本——以angrctf解题记录为参考的更多相关文章

  1. pwnable.kr input解题记录

    pwnable input解题记录 给了源码如下: #include "stdio.h" #include "unistd.h" #include " ...

  2. ssrf解题记录

    ssrf解题记录 最近工作需要做一些Web的代码审计,而我Web方面还比较薄弱,决定通过一些ctf的题目打打审计基础,练练思维,在博客上准备开几个专题专门记录刷题的过程. pwn题最近做的也很少,也要 ...

  3. PADS Logic 脚本的 Fields 一个对象记录

    PADS Logic 脚本的 Fields 一个对象记录 PADS Laogic 有一个非常棒的脚本功能,可以导出所以元件. 我目前是把脚本绑定到 Ctrl+S 上,在保存时自动导出 txt 文件,方 ...

  4. LeetCode解题记录(贪心算法)(二)

    1. 前言 由于后面还有很多题型要写,贪心算法目前可能就到此为止了,上一篇博客的地址为 LeetCode解题记录(贪心算法)(一) 下面正式开始我们的刷题之旅 2. 贪心 763. 划分字母区间(中等 ...

  5. ;~ 并发运行的AutoHotkey脚本真机实际测试模板参考20191010.ahk

    ;~ 并发运行的AutoHotkey脚本真机实际测试模板参考20191010.ahk;~ 2019年10月10日;~ 徐晓亮(aahk6188);~ 操作系统测试环境: Windows 7 专业版 3 ...

  6. 实验吧web解题记录

    自以为sql注入掌握的还是比较系统的,然而,做了这些题之后才发现,大千世界无奇不有,真是各种猥琐的思路...还是要多学习学习姿势跟上节奏 登录一下好吗?? http://ctf5.shiyanbar. ...

  7. LeetCode解题记录(贪心算法)(一)

    1. 前言 目前得到一本不错的算法书籍,页数不多,挺符合我的需要,于是正好借这个机会来好好的系统的刷一下算法题,一来呢,是可以给部分同学提供解题思路,和一些自己的思考,二来呢,我也可以在需要复习的时候 ...

  8. 自动交互脚本之expect使用记录

    之前一直没怎么用这个命令,意外用了一下,还不错,那这个是干嘛的呢 我们或多或少会远程登录其他服务器,需要执行某项任务,通常需要手动接入,输入密码啊,等等 那我们如何有效的自动执行呢,expect可以解 ...

  9. 针对Linux上Java程式运行脚本的Log信息记录操作人员记录以及成功运行判断

    简介与优点 使用该教程,能直观地看到java启动脚本是否启动/关闭成功 能让自己的启动时间日期都记录在Log中 能记录有哪些人登陆了该服务器操作了启动关闭脚本(记录IP地址) 使用说明 在原有的启动和 ...

随机推荐

  1. 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(概述篇)

    SDK 开发 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(理念与设计原则篇) 顶级开源项目 Sentry 20.x JS-SDK 设计艺术(开发基础篇) 系列 Snuba:Sentr ...

  2. CSS中的块级元素,行内元素,行内块元素

    博客转载于:https://blog.csdn.net/swebin/article/details/90405950 块级元素 block 块级元素,该元素呈现块状,所以他有自己的宽度和高度,也就是 ...

  3. c语言跨文件调用函数中声明的变量

    转载:weixin_33885253 变量的作用域 变量根据其作用域有全局变量和局部变量之分.全局变量作用域是整个文件,并且可以使用关键字extern达到跨文件调用的目的.但是局部变量值作用于它当前所 ...

  4. 基础篇:JAVA引用类型和ThreadLocal

    前言 平时并发编程,除了维护修改共享变量的场景,有时我们也需要为每一个线程设置一个私有的变量,进行线程隔离,java提供的ThreadLocal可以帮助我们实现,而讲到ThreadLocal则不得不讲 ...

  5. CentOS离线安装Nginx

    在医院搭建项目环境时,因为医院通常都是内网的,访问不了外网,所以很多服务都得通过离线的方式安装,下面讲讲CentOs系统中如何离线安装Nginx. 安装准备 Nginx离线安装依赖gcc.g++环境, ...

  6. Go语言GC实现原理及源码分析

    转载请声明出处哦~,本篇文章发布于luozhiyun的博客:https://www.luozhiyun.com/archives/475 本文使用的 Go 的源码1.15.7 介绍 三色标记法 三色标 ...

  7. NameError: name 'foo' is not defined Python常见错误

    1.变量或者函数名拼写错误 2.在一个定义新变量中使用增值操作符 没有定义的变量被引用时候会出现此错误

  8. 第23 章 : Kubernetes API 编程范式

    Kubernetes API 编程范式 需求来源 首先我们先来看一下 API 编程范式的需求来源. 在 Kubernetes 里面, API 编程范式也就是 Custom Resources Defi ...

  9. 锋利的NodeJS之NodeJS多线程

    最近刚好有朋友在问Node.js多线程的问题,我总结了一下,可以考虑使用源码包里面的worker_threads或者第三方的模块来实现. 首先明确一下多线程在Node.js中的概念,然后在聊聊work ...

  10. MyBatis笔记(六)

    1. 动态SQL 1.1 介绍 概念:**动态SQL指的是根据不同的查询条件 , 生成不同的Sql语句.* 官网描述: MyBatis 的强大特性之一便是它的动态 SQL.如果你有使用 JDBC 或其 ...