angr学习笔记(5)(栈符号化)

最新推荐文章于 2022-10-04 21:28:01 发布
原创 最新推荐文章于 2022-10-04 21:28:01 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了使用angr工具进行栈符号化的步骤及原理,重点解析了如何构造初始状态、设置栈帧以及参数传递的过程。通过实例演示了如何找到正确参数并解决实际问题。
部署运行你感兴趣的模型镜像

angr系列

00_angr_find

01_angr_avoid

02_angr_find_condition

03_angr_symbolic_registers

04_angr_symbolic_stack

05_angr_symbolic_memory

06_angr_symbolic_dynamic_memory

07_angr_symbolic_file

08_angr_constraints

09_angr_hooks

10_angr_simprocedures

13_angr_static_binary

文章目录

伪代码分析

在这里插入图片描述
这个是直接把参数放在栈中处理,所以我们需要利用代码在函数执行起始处构造栈空间栈符号化

符号化栈需要观察栈帧:
在这里插入图片描述
构建出start_address处的栈后,再来进行下一步的操作:

 	padding_size=8
    init_state.stack_push(init_state.regs.ebp)
    init_state.regs.ebp=init_state.regs.esp

    init_state.regs.esp-=padding_size
    
    pass1=init_state.solver.BVS("pass1",32)
    pass2=init_state.solver.BVS("pass2",32)
    init_state.stack_push(pass1)
    init_state.stack_push(pass2)

这里符号化栈可以对照这符号化内存地址单元和寄存器来进行观察

疑问点

这里为什么是8?
在这里插入图片描述
看了一下esp栈帧,除去填入的ebp,感觉padding_size应该是0x18呀,这样的话,才符合呀
动调后:
在这里插入图片描述
看了一下此时eax的值和ebp的值,直接发现
ebp+var_10就等于ebp-10(我一直以为是+10.误认为是上一个函数的内存单元格。)

其实这里也写了:
在这里插入图片描述
那对于-8就没有任何问题了。解释一下为什么是-8.

这里的输入参数是ebp-0x10ebp-0x0Cebp是高地址(栈都是由高地址向低地址拓展
在这里插入图片描述
因为参数1占四个字节,所以0xC~0x8就是这个参数所占内存,因此此时所需填充的就是8个字节(即抬高栈顶8个字节

最后进行求解:

        password1=found_state.solver.eval(pass1)
        password2=found_state.solver.eval(pass2)

脚本:

import angr
import sys
def main(argv):
    bin_path=argv[1]
    p=angr.Project(bin_path)
    start_addr=0x08048697
    init_state=p.factory.blank_state(addr=start_addr)

    padding_size=8
    init_state.stack_push(init_state.regs.ebp)
    init_state.regs.ebp=init_state.regs.esp

    init_state.regs.esp-=padding_size

    pass1=init_state.solver.BVS("pass1",32)
    pass2=init_state.solver.BVS("pass2",32)

    init_state.stack_push(pass1)
    init_state.stack_push(pass2)

    sm=p.factory.simgr(init_state)

    def is_good(state):
        return b'Good Job.' in state.posix.dumps(1)
    def is_bad(state):
        return b'Try again.' in state.posix.dumps(1)
    sm.explore(find=is_good,avoid=is_bad)
    if sm.found:
        found_state=sm.found[0]
        password1=found_state.solver.eval(pass1)
        password2=found_state.solver.eval(pass2)
        print("Solution:{} {}".format(password1,password2))

    else:
        raise Exception("Solution not found")

if __name__=='__main__':
    main(sys.argv)

在这里插入图片描述

Solution:1704280884 2382341151

验证

在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Llama Factory

Llama Factory

模型微调
LLama-Factory

LLaMA Factory 是一个简单易用且高效的大型语言模型(Large Language Model)训练与微调平台。通过 LLaMA Factory,可以在无需编写任何代码的前提下,在本地完成上百种预训练模型的微调

[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 1770
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
[漏洞挖掘与防护] 02.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
最新发布
杨秀璋的专栏
07-14 1577
上一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。希望对入门的同学有帮助。
angr 04_angr_symbolic_stack 符号化
漫小牛的博客
08-17 429
文章目录1 解题过程 04_angr_symbolic_stack是angr的第5个例子,下载位置:https://github.com/jakespringer/angr_ctf 1 解题过程 import angr import sys def main(argv): b
软件测试之SDK开发(ios)——堆符号化
lfdanding的专栏
08-31 803
当捕获到crash以后,捕获到的其实是一堆内存地址,需要将其转化为可读的符号,才能定位问题。 说到堆符号化,我们很容易联想到DSYM文件,在Xcode build setting有个Debug Infomation Format的选项,如下图所示: 可以看到Debug模式下,符号表文件会存入到可执行文件中,而Release模式则会生成出DSYM文件。由于符号表在内存中,这为我们实时符号化...
Angr学习 04_angr_symbolic_stack
MrTreebook的博客
10-04 437
【代码】Angr学习 04_angr_symbolic_stack。
iOS开发 - iOS崩溃堆信息的符号化解析
骑着蜗牛找马儿
08-18 2138
我们知道,开发者在使用Xcode开发调试App时,一旦遇到崩溃问题,开发者可以直接使用Xcode的调试器定位分析崩溃堆。但如果App发布上线,用户的手机发生了崩溃,我们就只能通过分析系统记录的崩溃日志来定位问题,在这份崩溃日志文件中,会指出App出错的函数内存地址,关键的问题,崩溃日志中只有地址,类似 0x2312e92f这种,这看起来岂不是相当头疼,那怎么办呢? 幸好有dSYM文件的存在,它是帮助苦逼的码农有效定位bug问题的重要途径。崩溃堆里的函数地址可以借助dSYM文件来找到具体的文件名、函数名和
Angr 操作的符号执行 04_angr_symbolic_stack
小龙在线
09-17 589
Angr不支持多个输入参数,而参数都存入中。我们可以跳过输入,直接操作,来遍历出想要的结果。那从哪儿开始执行呢? 此例,可以从scanf输入密码结束之后,把我们的密码注入,也就是sanf的注销(add esp, 10h)的后面0x08048697。 这里我们通过gdb来查看符号执行时,要设置的padding大小: 经过complex_function0和complex_function1后,可以计算出padding大小0xffffcf28 - 0xffffcf20: # This challen
angr学习笔记(6)(内存地址单元符号化
寻梦&之璐
04-12 1969
.text:080485C0 push offset user_input ; s .text:080485C5 call _memset .text:080485CA add esp, 10h .text:080485CD sub esp, 0Ch .text:080485D0 push offset aEnterThePasswo ; "Enter the password: " .text:080485D5 call _printf .text:080485D.
逆向angr学习
苗_的博客
10-06 1569
坑是迟早要填的.... 前言 angr 是一个基于符号执行和模拟执行的二进制框架,可以用在很多的场景,比如逆向分析,漏洞挖掘等。 符号执行简单来说就是用符号来模拟程序执行,在我看来就相当于暴力破解,比如一个程序要求你进行一个复杂的运算,每次动态调试只能输入一次,然而符号执行可以尽可能的遍历每一条路径,这样就方便了许多。 ...
ollvm 学习笔记
sky123博客
04-28 4881
环境配置 编译 ollvm 先将 GitHub 上的 ollvm 下载下来。 git clone -b llvm-4.0 https://github.com/obfuscator-llvm/obfuscator.git 创建文件夹,作为编译 ollvm 的目录。 mkdir ollvm cd ollvm 加载 ollvm 项目。 cmake -DCMAKE_BUILD_TYPE=Release -DLLVM_INCLUDE_TESTS=OFF ~/obfuscator 然后编译项目。 make -j
符号执行angr解ctf逆向题组
12-28
从解ctf逆向题目学习符号执行,如果你想玩它们,看看package.py,
符号的使用
Acapplella的博客
05-23 400
Angr 03_angr_symbolic_registers 多个输入的寄存器符号化
小龙在线
09-09 608
直接打开程序,发现要输入三个密码。 用IDA打开程序,get_user_input把三个输入分别放入寄存器eax、ebx、edx。我们需要跳过输入这一步,直接让Angr把用符号向量来代替输入。因此,我们需要改变程序入口,直接跳转到参数入的位置,然后新建三个符号向量,并把三个符号向量分别放到寄存器eax、ebx、edx。 import angr import claripy import sys def main(argv): path_to_binary = argv[1] project
(前缀、中缀、后缀表达式、递归)Stack
Simon郎的博客
01-31 2123
三、(Stack) 1、的概念 ​ 与队列相反,队列是在队头进入,队尾出队的线性表,是仅能在顶进行插入和删除的线性表(先入先出)。我们通常把允许插入和删除的一端成为顶,另一端称为底。的插入操作为入的删除操作为出,不含任何数据元素的称为空的表示: 用数组模拟 用链表模拟 2、的应用场景 前缀、中缀和后缀表达式 前缀表达式是运算符在前,数字符在后 (...
angr学习笔记(4) (寄存器符号化
寻梦&之璐
04-11 2235
文章目录拖入ida脚本:验证 拖入ida 汇编代码为: .text:0804890C push ebp .text:0804890D mov ebp, esp .text:0804890F sub esp, 18h .text:08048912 mov ecx, large gs:14h .text:08048919 mov [ebp+var_C], ecx .text:0804891C xor ecx, ecx .text:0804891E lea
angr的学习与记录(二:寄存器、和内存设置)
m0_49936845的博客
09-22 613
03_angr_symbolic_registers 输入值在寄存器设置 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx int v4; // eax int v5; // edx int v6; // ST1C_4 int v7; // ST14_4 unsigned int v9; // [esp+8h] [ebp-10h] int v10; // [esp+C
angr学习【一】
BadRer的博客
05-12 5744
前言 最近由于遇到一些题需要使用angr框架解决。因此呢,学习一下吧,这个框架。 环境安装 https://github.com/angr 不多说了 题目一
二进制分析工具angr的使用学习(1)
逆向随笔
04-18 3404
参考文章: Angr:一个具有动态符号执行和静态分析的二进制分析工具 1. angr安装-linux 安装依赖 sudo apt-get install python-dev libffi-dev build-essential virtualenvwrapper 安装angr mkvirtualenv angr && pip install angr 出现错误...
angr学习笔记(9)(添加约束)
寻梦&之璐
04-13 3029
拖进ida 需要在下方添加一个约束,防止路线爆炸if ( check_equals_AUPDNNPROEZRJWKB((int)&buffer, 0x10u) ) 脚本 import sys import angr def main(argv): bin_path=argv[1] p=angr.Project(bin_path) start_addr=0x08048625 init_state=p.factory.blank_state(addr=start_a
基于ANGR的Triton恶意软件符号执行分析
本项目通过引入ANGR这一开源的二进制分析框架,实现了对Triton样本的符号化执行。ANGR支持混合符号执行(concolic execution),即结合具体输入值与符号变量进行程序路径探索,能够在不完全依赖真实运行环境的前提下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值