主頁 >  其他 > CTF 逆向工具angr的學習筆記

CTF 逆向工具angr的學習筆記

2021-09-16 08:31:09 其他

angr

  • 概述
  • 如何學習
  • 題目串列
    • 00_angr_find
    • 01_angr_avoid
    • 02_angr_find_condition
    • 03_angr_symbolic_registers
    • 04_angr_symbolic_stack
    • 05_angr_symbolic_memory
    • 06_angr_symbolic_dynamic_memory
  • 總結

概述

??angr
??簡單介紹一下angr,借助官方的原話就是 – A powerful and user-friendly binary analysis platform!,一個功能強大且用戶友好的二進制分析平臺,這里主要總結一下使用angr解決ctf逆向題的一些用法和套路,
??安裝的話,大家可以直接使用pip安裝,不過這里可能會遇到一個小坑,我在安裝angr之前已經安裝了pwntools,此時再安裝angr,由于有一個依賴庫兩者需要的版本是不一樣的,所以安裝后導致pwntools無法使用,解決的話,大家可以采用python虛擬環境將做題環境分開,推薦使用pipenv,有空的話再寫一個筆記,不過這個操作比較簡單,讀者簡單搜索即可解決,

如何學習

??angr官方檔案
??個人在網上發現了一個名為 – angr_ctf的專案,非常適合新手入門學習,作者也是通過一道道基本題目來幫助讀者入手angr,對于我們這種re手來說,直接去閱讀檔案肯定是效率極低的,所以通過做題的方式來學習我感覺是非常可以的,
??首先直接git clone下整個專案,然后如下截圖所示,是其部分的專案內容截圖,其中帶有數字編號的是題目,一共有18道題,進入每道有編號的題目里,會有相應生成c程式的模板和腳本,dist目錄的話存放的就是已經生成好了的二進制程式,solutions目錄下存放了對應程式和解題腳本,所以我們直接在這個目錄下學習就好,

angr-0
??如下截圖所示,進入solutions目錄,然后再進入編號為00的題目目錄里,可以看到一共有三個檔案,第一個對應二進制程式,第二個名為scaffold00.py的腳本檔案是需要我們完成的解題腳本,作者在里面給了充分的解釋和代碼來幫助我們學習并解決題目,第三個檔案就是作者給出的完整解題腳本,

angr-1
??下面直接開始學習,我會將自己的解題腳本貼出來,由于作者已經給了足夠的注釋,我就不詳細介紹每個API的用途,個別需要思考的地方我會單獨注釋,

題目串列

00_angr_find

??如下截圖所示,是該題目的主要邏輯,print_msg函式用于列印提示資訊,然后要求我們輸入密碼,之后會用complex_function對密碼進行變換,最終和程式中給出的字串進行比較,相同即成功,

00_angr_find-0
??下面我們用angr進行求解,腳本如下,

import angr


# Create a Pro --> Create a simu --> Explore
pro = angr.Project("./00_angr_find")

init_state = pro.factory.entry_state()  # start() addr
simu = pro.factory.simgr(init_state)

good_addr = 0x804867d
simu.explore(find=good_addr)

# get res
if simu.found:
    res = simu.found[0]
    for i in range(3):
        # print stdin/stdout/stderr, stdin is flag
        print(res.posix.dumps(i))
else:
    print("No result!")

??如下是程式的運行結果,上面一開始是一些警告資訊,主要是由于angr的求解代碼沒有進一步設定更多的值,這表明我們的代碼確實不是很完善,當然應對簡單的題目足夠,當后面學習更多的知識時再解決,最后三行輸出依次是stdin/stdout/stderr的值,stdin代表輸入的passwd即flag,stdout是程式運行的輸出,程式沒有運行出錯,所以stderr沒有輸出,

00_angr_find-1

01_angr_avoid

??如下截圖所示,由于main函式中邏輯太長無法反編譯,所以只能嘗試分析匯編,可以發現整個邏輯和上題中是一樣的,要求輸入密碼然后變換后和已知字串進行比對,有區別的是最后判斷加入了should_succeed,而avoid_me函式會將其值置為0從而無法達到good_addr,因此這里的angr求解腳本需要避免進入到avoid中,

01_angr_avoid-0
01_angr_avoid-1
??求解腳本如下,經過實際測驗不加入avoid也是可以求解的,不過會使用更多的時間,

import angr


pro = angr.Project("./01_angr_avoid")

init_state = pro.factory.entry_state()
simu = pro.factory.simgr(init_state)

good_addr = 0x080485E0
avoid_addr = 0x080485A8   # avoid_me func
simu.explore(find=good_addr, avoid=avoid_addr)

if simu.found:
    res = simu.found[0]
    for i in range(3):
        print(res.posix.dumps(i))
else:
    print("No result!")
"""
b'RNGFXITY'
b'placeholder\nEnter the password: '
b''
"""

02_angr_find_condition

??如下截圖所示,是本題的主要邏輯,和前面的題目差不多,此處就不多分析,

02_angr_find_condition
??求解腳本如下,這道題的目的主要是學習另外一種條件判斷的方法,前面的題目指定是地址,這里也可以指定為一個條件函式,

import angr


pro = angr.Project("./02_angr_find_condition")

init_state = pro.factory.entry_state()
simu = pro.factory.simgr(init_state)

def success(state):
    output = state.posix.dumps(1)   # get output from stdout
    return b"Good Job." in output

def abort(state):
    output = state.posix.dumps(1)   # get output from stdout
    return b"Try again." in output

simu.explore(find=success, avoid=abort)
if simu.found:
    res = simu.found[0]
    for i in range(3):
        print(res.posix.dumps(i))
else:
    print("No result!")
"""
b'UFOHHURD'
b'placeholder\nEnter the password: Good Job.\n'
b''
"""

03_angr_symbolic_registers

??如下截圖所示,是本題的主要邏輯,同樣也是先獲取輸入,然后使用了三個函式進行變換,最后進行判斷,

03_angr_sym-0
??這道題最主要的區別在于scanf讀取了三個引數,以前的angr版本不支持scanf獲取多個引數,所以會采用設定暫存器求解的方法,如下腳本所示,不過現在安裝最新版本的話是可以支持scanf獲取多個引數的,所以仍然可以用上面的方法直接求解,

import angr
import claripy


pro = angr.Project("./03_angr_symbolic_registers")

start_addr = 0x080488D1
init_state = pro.factory.blank_state(addr=start_addr)  # blank_state, not entry_state

# create three vars
size_in_bits = 32
passwd0 = claripy.BVS("passwd0", size_in_bits)
passwd1 = claripy.BVS("passwd1", size_in_bits)
passwd2 = claripy.BVS("passwd2", size_in_bits)

# scanf --> eax/ebx/edx
init_state.regs.eax = passwd0
init_state.regs.ebx = passwd1
init_state.regs.edx = passwd2

simu = pro.factory.simgr(init_state)

def success(state):
    output = state.posix.dumps(1)
    return b"Good Job." in output

def abort(state):
    output = state.posix.dumps(1)
    return b"Try again." in output

simu.explore(find=success, avoid=abort)

if simu.found:
    res = simu.found[0]
    solu0 = res.solver.eval(passwd0)  # you can also use init_state.regs.eax replace passwd0
    solu1 = res.solver.eval(passwd1)
    solu2 = res.solver.eval(passwd2)

    solu = " ".join(map("{:x}".format, [solu0, solu1, solu2]))
    print(solu)
else:
    print("No result!")
"""
db01abf7 4930dc79 d17de5ce
"""

04_angr_symbolic_stack

??如下截圖所示,是該程式的主邏輯,這道題和上面一道題類似,同樣需要設定引數來求解,

04_angr_stack
??腳本如下,由于設定引數是在堆疊上,所以我們需要在初始狀態時模擬程式本身的堆疊情況,即在正確的堆疊位置將引數傳進入,主要看esp和ebp兩個指標,

import angr
import claripy


pro =angr.Project("./04_angr_symbolic_stack")

start_addr = 0x08048697
init_state = pro.factory.blank_state(addr=start_addr)

# 初始時ebp無值,esp有值,將兩個置于同一個值
init_state.regs.ebp = init_state.regs.esp

passwd0 = claripy.BVS("passwd0", 32)
passwd1 = claripy.BVS("passwd1", 32)

# 安裝程式的運行邏輯構造正確的堆疊幀
init_state.regs.esp -= 8
init_state.stack_push(passwd0)
init_state.stack_push(passwd1)

# test esp
# 因為程式是用ebp索引區域變數,所以區域變數和ebp的位置一定要準確
# 而對于esp,只需要保證ebp索引區域變數時esp的值是小于該區域變數的位置即可
# init_state.regs.esp -= 0x100
# print(init_state.regs.esp, init_state.regs.ebp)

simu = pro.factory.simgr(init_state)

def success(state):
    output = state.posix.dumps(1)
    return b"Good Job." in output

def abort(state):
    output = state.posix.dumps(1)
    return b"Try again." in output

simu.explore(find=success, avoid=abort)

if simu.found:
    res = simu.found[0]
    solu0 = res.solver.eval(passwd0)
    solu1 = res.solver.eval(passwd1)
    
    solu = " ".join(map(str, [solu0, solu1]))
    print(solu)
else:
    print("No result!")
"""
1213922930 1153451551
"""

05_angr_symbolic_memory

??如下截圖所示,是本題的主邏輯,同樣也是scanf讀取多個引數,其中有四個引數都在bss段中,

05_angr_memory
??求解腳本如下,

import angr
import claripy


pro = angr.Project("./05_angr_symbolic_memory")

start_addr = 0x08048603
init_state = pro.factory.blank_state(addr=start_addr)

# symbolics
syms = []
for i in range(4):
    syms.append(claripy.BVS(str(i), 64))

# scanf 引數位置
bss = [0x0A29FAA0, 0x0A29FAA8, 0x0A29FAB0, 0x0A29FAB8]
for i in range(4):
    init_state.memory.store(bss[i], syms[i])

good = 0x08048677
bad = 0x08048665
simu = pro.factory.simgr(init_state)
simu.explore(find=good, avoid=bad)

if simu.found:
    res = simu.found[0]
    flag = b""
    for i in range(4):
        flag += res.solver.eval(syms[i], cast_to=bytes) + b" "   # cast_to only bytes or int
    print(flag)
else:
    print("No result!")
"""
QLVJFWGI YPEKZGCV LCWKCULV STBDTTXE
"""

06_angr_symbolic_dynamic_memory

??如下截圖所示,是本題的主要邏輯,scanf會讀取兩個引數,而兩個引數的記憶體位置是由malloc動態分配的,

06_angr_symbolic_dynamic_memory
??求解腳本如下,

import angr
import claripy


pro = angr.Project("./06_angr_symbolic_dynamic_memory")

start_addr = 0x0804869B
init_state = pro.factory.blank_state(addr=start_addr)

syms = []
for i in range(2):
    syms.append(claripy.BVS(str(i), 64))

# 假的未使用的地址
fake_heap_addr = [0x4444444, 0x4444454]
# 引數指標地址
buffer_addr = [0x0A79A118, 0x0A79A120]
for i in range(2):
	# angr 默認為大端,這里要使用程式的arch
    init_state.memory.store(buffer_addr[i], fake_heap_addr[i], endness=pro.arch.memory_endness)
    init_state.memory.store(fake_heap_addr[i], syms[i])

good = 0x08048763
bad = 0x08048751
simu = pro.factory.simgr(init_state)
simu.explore(find=good, avoid=bad)

if simu.found:
    res = simu.found[0]
    flag = b""
    for i in range(2):
        flag += res.solver.eval(syms[i], cast_to=bytes) + b" "
    print(flag)
else:
    print("No result!")
"""
IDMRHRCZ PLBQSLBO
"""

總結

不忘初心,砥礪前行!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300416.html

標籤:其他

上一篇:隴劍杯Writeup(部分)

下一篇:首屆“隴劍杯”網路安全大賽(部分WP)

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more