当前位置：网站首页>Angr（六）——angr_ctf

Angr（六）——angr_ctf

2022-07-25 09:27:00 【c1rcl3】

通过angr_ctf熟悉angr的使用方法

参考链接：

bilibili - angr符号执行

GitHub - angr_ctf

08

1. 直接下载angr_ctf提供的ELF可执行文件08_angr_constraints

2. 用IDA静态分析

main函数调用scanf读取16字节的字符串输入至缓冲区buffer，然后调用complex_function函数对输入进行处理。最后调用check_equals_AUPDNNPROEZRJWKB完成逐字符的字符串比较，并根据结果相应输出。

3. 编写脚本求解程序输出Good Job时对应的输入，为了避免字符串比较函数造成路径爆炸，可以避免对check部分的逻辑进行符号执行

import angr
import claripy
 
p = angr.Project("./08")
start_addr = 0x8048625
check_addr = 0x8048565
init_state = p.factory.blank_state(addr=start_addr)
pass_addr = 0x804A050
pass = claripy.BVS('pass', 16 * 8)
init_state.memory.store(pass_addr, pass)
sm = p.factory.simulation_manager(init_state)
sm.explore(find=check_addr)
for i in range(0, len(sm.found)):
	found_state = sm.found[i]
    target = "AUPDNNPROEZRJWKB".encode()
    param1 = pass_addr
    param2 = 16
    bvt = found_state.memory.load(param1, param2)
    found_state.add_constraints(bvt == target)
	res = found_state.solver.eval(pass, cast_to=bytes).decode()
	print(res)

4. 运行脚本查看结果

5. 检查结果的正确性

09

1. 直接下载angr_ctf提供的ELF可执行文件09_angr_hooks

2. 用IDA静态分析

main函数逻辑可以分为两部分：

第一部分：首先读取一个16字符的字符串至缓冲区buffer中，之后调用complex_function函数对buffer中的内容进行逐字符处理，最后将处理后的buffer中的内容与password缓冲区中的字符串进行比较。

第二部分：再次读取一个16字符的字符串至缓冲区buffer中，之后调用complex_function函数对password中的内容进行逐字符处理，最后将处理后的password中的内容与buffer中的字符串进行比较。

3. 编写脚本求解程序输出Good Job时对应的输入，为了避免字符串比较函数造成路径爆炸，可以对check函数进行hook，不进行符号执行

import angr
import claripy

def isGood(state):
	return b'Good Job.' in state.posix.dumps(1)
 
def isBad(state):
	return b'Try again.' in state.posix.dumps(1)

p = angr.Project("./09")
check_addr = 0x80486B3
skip_size = 5
init_state = p.factory.entry_state()
@p.hook(check_addr, length=skip_size)
def check_hook(state):
	pass_addr = 0x804A054
	pass_size = 0x10
	bvt = state.memory.load(pass_addr, pass_size)
	target = "XYMKBKUHNIQYNQXE".encode()
	state.regs.eax = claripy.If(target == bvt, claripy.BVV(1, 32), claripy.BVV(0, 32))
sm = p.factory.simulation_manager(init_state)
sm.explore(find=isGood, avoid=isBad)
for i in range(0, len(sm.found)):
	found_state = sm.found[i]
	print("{}".format(found_state.posix.dumps(0)))

4. 运行脚本查看结果