angr学习笔记(10)(hook)

最新推荐文章于 2025-06-05 09:09:09 发布
原创 最新推荐文章于 2025-06-05 09:09:09 发布 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析angr库在scanf函数分析中的应用,涉及内存符号化、hook技巧和模拟执行,通过实例展示了如何利用angr工具定位输入缓冲区行为。重点介绍了如何hook scanf函数以控制输入并解决路径爆炸问题。
部署运行你感兴趣的模型镜像

angr系列

00_angr_find

01_angr_avoid

02_angr_find_condition

03_angr_symbolic_registers

04_angr_symbolic_stack

05_angr_symbolic_memory

06_angr_symbolic_dynamic_memory

07_angr_symbolic_file

08_angr_constraints

09_angr_hooks

10_angr_simprocedures

13_angr_static_binary

文章目录

scanf函数

#include<stdio.h>
int main() {
	int buff[100];
	scanf("%4s/n", buff);
	printf("biaobiao come on");
	scanf("%4s/n", buff);

}

在这里插入图片描述
在这里插入图片描述

总结:

scanf读取的地方是输入缓冲区(以内存为参照)的,只要第一个scanf读取完成后,缓冲区中还有数据,就会紧接着读取不需要下次的输入

分析伪代码

在这里插入图片描述

在这里插入图片描述
输入参数地址是0x0804A054
在这里插入图片描述

0x80486B3我们需要hook的地址是这个,因为这个函数里面字符进行一一比较,容易造成路径爆炸

一旦我们执行到check_addr=0x080486B3这个地址时,然后程序不会往下执行原来的函数,而是会去执行check_hook函数

先进行函数参数的加载:

 user_input_bvs=state.memory.load(
            user_input_addr,
            user_input_length
            )

然后进行相应返回值的判断:

        state.regs.eax=claripy.If(
            desired==user_input_bvs,
            claripy.BVV(1,32),
            claripy.BVV(0,32)
            )

脚本:

import angr
import sys
import claripy

def main(argv):
    bin_path=argv[1]

    p=angr.Project(bin_path)

    init_state=p.factory.entry_state()

    check_addr=0x080486B3
    check_skip_size=5

    @p.hook(check_addr,length=check_skip_size)
    def check_hook(state):
        user_input_addr=0x0804A054
        user_input_length=16

        user_input_bvs=state.memory.load(
            user_input_addr,
            user_input_length
            )
        desired='XYMKBKUHNIQYNQXE'

        state.regs.eax=claripy.If(
            desired==user_input_bvs,
            claripy.BVV(1,32),
            claripy.BVV(0,32)
            )
    def is_good(state):
        return b'Good Job.' in state.posix.dumps(1)
    def is_bad(state):
        return b'Try again.' in state.posix.dumps(1)
    sm=p.factory.simgr(init_state)

    sm.explore(find=is_good,avoid=is_bad)

    if sm.found:
        found_state=sm.found[0]
        print("Solution:{}".format(found_state.posix.dumps(0)))
    else:
        raise Exception("Solution not found")
if __name__=='__main__':
    main(sys.argv)

在这里插入图片描述

ZXIDRXEORJOTFFJNWUFAOUBLOGLQCCGK

验证

在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Llama Factory

Llama Factory

模型微调
LLama-Factory

LLaMA Factory 是一个简单易用且高效的大型语言模型(Large Language Model)训练与微调平台。通过 LLaMA Factory,可以在无需编写任何代码的前提下,在本地完成上百种预训练模型的微调

angr学习笔记(6)(内存地址单元符号化)
寻梦&之璐
04-12 1967
.text:080485C0 push offset user_input ; s .text:080485C5 call _memset .text:080485CA add esp, 10h .text:080485CD sub esp, 0Ch .text:080485D0 push offset aEnterThePasswo ; "Enter the password: " .text:080485D5 call _printf .text:080485D.
逆向angr学习
苗_的博客
10-06 1569
坑是迟早要填的.... 前言 angr 是一个基于符号执行和模拟执行的二进制框架,可以用在很多的场景,比如逆向分析,漏洞挖掘等。 符号执行简单来说就是用符号来模拟程序执行,在我看来就相当于暴力破解,比如一个程序要求你进行一个复杂的运算,每次动态调试只能输入一次,然而符号执行可以尽可能的遍历每一条路径,这样就方便了许多。 ...
angr项目中的Hook与SimProcedure技术详解
最新发布
gitblog_00766的博客
06-05 387
angr符号执行引擎中,Hook和SimProcedure是两项强大的功能,它们允许开发者修改程序的执行行为。简单来说: - **Hook**:可以理解为在特定代码位置插入的"钩子",当执行流到达该位置时,会触发我们自定义的处理逻辑 - **SimProcedure**:是angr提供的一种高级Hook机制,专门用于模拟或替换函数的行为 ## 快速入门示例 让我们从一个简单例子开始,了解如...
angr文档中文翻译Hooks and SimProcedures部分
liuzejie1的博客
09-20 314
angr中的Hooks非常强大!您可以使用它们以您可以想象的任何方式修改程序的行为。然而,您可能不知道如何对特定hook进行编程。本章应作为 SimProcedures 编程时的指南。(对一些特定的库函数或api函数进行重写)
【记录】Angrangrhook_symbol 怎么定义的,怎么用?
shandianchengzi的博客
12-31 1085
我在学习 Angr,这里会记录一些琐碎的、在中文引擎里一搜没找到解法的问题。Angr 是一种符号执行工具。我的学习内容:本博客是学习到10_angr_simprocedures时产生的疑惑。以下是我用来问GPT的Prompt:我看到一段这样的代码,不明白为什么传递的参数的class定义的函数是run而不是__init__int我注意到它传递的参数可以是SimProcedure实例或者一个函数,函数我可以理解,实例我不明白。
angr学习笔记(11)(SimProcedure)
寻梦&之璐
04-13 2855
脚本 import angr import sys import claripy def main(argv): bin_path=argv[1] p=angr.Project(bin_path) init_state=p.factory.entry_state() class mySimPro(angr.SimProcedure): def run(self,user_input,user_input_length): angr_
CTF——angr使用学习记录
weixin_52369224的博客
11-15 2652
寄存器的符号化: import angr import claripy p = angr.Project('') init_addr = 0x08048980 #scanf的下一条指令地址 state = p.factory.blank_state(addr=init_addr) #创建一个状态,并将该地址赋给它,也就是跳过输入,直接执行下一条指令,此处使用.blank_state()而不再是.entry_state() #定义三个位向量,即三个输入 p1 = claripy.BVS('p.
Angr学习 02_angr_condication
MrTreebook的博客
10-04 250
【代码】Angr学习 02_angr_condication。
angr学习之安装
qq_43682582的博客
11-19 2155
angr学习 前言 第一次接触angr是在上半年实验室招新时遇到的一道vm逆向题。当然,作为菜鸡是肯定没有做出来的啦,但是在查找资料的过程中,遇到了一道跟招新题很像的竞赛题(网鼎杯青龙组signal)。当时网上有师傅是按一般套路来的(跟着做过,我太菜了,没整出来),但是也有师傅用的就是angr。 当时就很震惊,这个太强大了,于是按耐不住就想也装上来用,可惜配置没配置好,然后一放就是小五个月。。。 提示:以下是本篇文章正文内容,下面案例可供参考 一、安装 我是在Ubuntu18.04上面装的 先安装依赖:
精选资源
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
我根据此幻想教程 , 和,使用此git repo记录了我对angr的学习经验。 非常感谢他们。 我希望我能继续一段时间并在将来熟悉angr。 安装 我使用pypy以更快的方式运行angr。 这是我的安装说明。 conda create -n angr...
claripy, 约束求解器的抽象层.zip
09-18
claripy, 约束求解器的抽象层 claripyClaripy是一个抽象的约束求解包装器。用法可以用 !一般用法类似于 z3:>>> import claripy>>> a = claripy.BVV(3, 3
Angr安装与使用之使用篇(十)
qq_42308741的博客
11-17 231
针对angr提供的17道练习题,现在进行求解09_angr_hooks,它也是关于hook的问题,需要使用angr求解出正确密码。但是需要提供排除地址以减少路径求解时间。 具体代码如下所示 import angr import claripy import sys def main(argv): path_to_binary = argv[1] project = angr.Project(path_to_binary) initial_state = project.factory.ent
angr学习笔记(9)(添加约束)
寻梦&之璐
04-13 3026
拖进ida 需要在下方添加一个约束,防止路线爆炸if ( check_equals_AUPDNNPROEZRJWKB((int)&buffer, 0x10u) ) 脚本 import sys import angr def main(argv): bin_path=argv[1] p=angr.Project(bin_path) start_addr=0x08048625 init_state=p.factory.blank_state(addr=start_a
angr学习【1】
weixin_39219503的博客
07-06 674
angr安装 python虚拟环境 安装python虚拟环境 pip install virtualenv pip install virtualenv wrapper 安装完成后,将如下命令写入~/.bashrc(linux)或者~/.bash_profile(OSX) export WORKON_HOME=your/python/env/path source /path/to/virtualenvwrapper.sh   创建虚拟环境 mkvirtualenv angr 推出虚拟环境 deact
angr符号执行用例解析——defcon2016quals_baby-re
doudoudouzoule的博客
04-17 2204
用例源码以及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/defcon2016quals_baby-re执行二进制文件,发现需要输入13个字符,然后通过一系列计算判断输入字符是否满足约束条件。在IDA里非常清晰可以看见输入错误的字符串及其调用地址:所以avoid_addr=0x402941而正确的字符串以及地址为:可以看...
Angr(十二)——官方文档(Part3)
qq_45953112的博客
08-01 1729
符号执行 Angr
angr学习[5]--代码整理(总结)
九层台
01-04 1351
0x01探索模板 import angr import claripy import sys def main(argv): path_to_binary = "15_angr_arbitrary_read" project = angr.Project(path_to_binary) # You can either use a blank state or an entry ...
angr使用[3]--使用技巧
九层台
01-04 1515
0x08对探索结果添加限制 #跳过一些函数来求解 import angr import claripy import sys import binascii def main(argv): path_to_binary = "08_angr_constraints" project = angr.Project(path_to_binary) start_address = 0x...
Angr实例分析——layer7_onlyone
zhuzhuzhu22的博客
06-11 1245
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。            这周我们依旧继续进行Angr的实例解析,我在使用Angr的过程中,发现了需要hook函数的地方,就看了下Angr-doc中提供的几种用法。这里layer7_onlyone为例,简单介绍下使用hook的正确姿势。本文涉及的CTF题目及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值