如何利用Angr進行簡單CTF逆向分析

如何利用Angr進行簡單CTF逆向分析，針對這個問題，這篇文章詳細介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

一、符號執(zhí)行概括

簡單的來說，符號執(zhí)行就是在運行程序時，用符號來替代真實值。符號執(zhí)行相較于真實值執(zhí)行的優(yōu)點在于，當使用真實值執(zhí)行程序時，我們能夠遍歷的程序路徑只有一條，而使用符號進行執(zhí)行時，由于符號是可變的，我們就可以利用這一特性，盡可能的將程序的每一條路徑遍歷，這樣的話，必定存在至少一條能夠輸出正確結(jié)果的分支，每一條分支的結(jié)果都可以表示為一個離散關(guān)系式，使用約束求解引擎即可分析出正確結(jié)果，這就是符號執(zhí)行的簡單闡述。

Angr是一個利用python開發(fā)的二進制程序分析框架，我們可以利用這個工具嘗試對一些CTF題目進行符號執(zhí)行來找到正確的解答，即flag。當然，要注意的是符號執(zhí)行的路徑選擇問題到現(xiàn)在依舊是一個很大的問題，換句話說也就是當我們的程序存在循環(huán)時，因為符號執(zhí)行會盡量遍歷所有的路徑，所以每次循環(huán)之后會形成至少兩個分支，當循環(huán)的次數(shù)足夠多時，就會造成路徑爆炸，整個機器的內(nèi)存會被耗盡。

二、Angr使用

個人感覺Angr在求解REVERSE題目時很有用，但在處理PWN題目時，多用在一些輔助的位置，比如尋找 strcmp  等敏感的函數(shù)等，這次我們簡單的講解一下如何使用Angr進行REVERSE題目的分析求解。我首先講解一下Angr在實踐中的幾步關(guān)鍵操作，之后會使用一個簡單的CTF題目進行實踐。推薦大家使用ipython進行簡單的實踐，ipython的tab補全可以讓你看到Angr中很多奇妙的函數(shù)。

1. 運行程序

我們在得到一個程序時，首先需要對此程序創(chuàng)建一個Angr工程。

p = angr.Project(‘program’)

我們可以通過這個工程得到程序的一些信息，比如程序名p.filename等等。

然后需要將這個程序運行起來，并且處理程序的一些輸入，前面已經(jīng)說過，在符號執(zhí)行時，我們使用的并不是真實值，而是一個個符號，可以簡單的理解為變量，所以我們需要構(gòu)造一個Angr中的符號來當做程序的輸入。

(1) 命令行參數(shù)

當程序要求命令行參數(shù)時，我們首先需要使用claripy這個模塊來定義抽象的數(shù)據(jù)。

import claripy

claripy的BVS函數(shù)可以創(chuàng)建一個指定長度的抽象數(shù)據(jù)，BVS函數(shù)要求兩個參數(shù)，***個參數(shù)為變量名，第二個參數(shù)為變量長度。

argv = [p.filename,]  arg = claripy.BVS(‘arg1′, 8)argv.append(arg1)

這樣，我們就創(chuàng)建好了一個命令行參數(shù)，我們現(xiàn)在可以將程序運行到程序入口處，并獲得當前的一個狀態(tài)。

state = p.factory.entry_state(args=argv)

P.factory是工廠函數(shù)的一個集合，在這里面可以調(diào)用各種各樣的函數(shù)來進行符號執(zhí)行，其中entry_state()函數(shù)接收一個list作為程序的命令行參數(shù)并且返回程序入口的狀態(tài)(這個狀態(tài)將在2.2節(jié)講解)。

(2) 標準輸入

當程序需要從標準輸入處讀取數(shù)據(jù)時，需要使用read_from()函數(shù)，要注意，這個函數(shù)位于狀態(tài)中，并且我們可以對輸入進行一些約束以減少符號執(zhí)行遍歷的路徑。

for _ in xrange(5):       k = state.posix.files[0].read_from(1)     state.se.add(k!=10)

這表示我們從標準輸入讀入了5個字節(jié)，并且每個字節(jié)都不為換行符。

2. Angr中程序的幾種狀態(tài)

我們在之前提到了獲取程序入口點的狀態(tài)，狀態(tài)在Angr中表示著程序符號執(zhí)行后的幾種結(jié)果，在Angr中，當獲取到程序入口點的狀態(tài)后，我們需要使用Angr的Simgr模擬器來進行符號執(zhí)行

sm = p.factory.simgr(state)

表示從入口點出創(chuàng)建一個模擬器來進行符號執(zhí)行。

在 Angr 尋找路徑時，程序的當前狀態(tài)有多種表示。

• step()表示向下執(zhí)行一個block(42bytes)，step()函數(shù)產(chǎn)生active狀態(tài)，表示該分支在執(zhí)行中;

• run()表示運行到結(jié)束，run()函數(shù)產(chǎn)生deadended狀態(tài)，表示分支結(jié)束;

• explore()可以對地址進行限制以減少符號執(zhí)行遍歷的路徑。例如

• sm.explore(find=0x400676,avoid=[0x40073d])

• explore()產(chǎn)生found狀態(tài)，表示探索的結(jié)果等等

3. 獲取輸出

當符號執(zhí)行遍歷玩路徑后，會產(chǎn)生大量的狀態(tài)，我們則需要從這些狀態(tài)中找出我們所需要的一條路徑。

我們可以獲取當前狀態(tài)程序的輸出

print sm.found.posix.dumps(1)

命令行參數(shù)

print sm.found.solver.eval(arg1,cast_to = str)

標準輸入

inp = sm.found.posix.files[0].all_bytes()   print sm.found.solver.eval(inp,cast_to = str)z

在求解命令行參數(shù)和標準輸入的值時，我們使用了約束求解引擎來進行求解

3. Angr實踐

bin(re50)下載：

http://oj.xctf.org.cn/web/practice/defensetrain/465f6bb8f4ad4d65a70cce2bd69dfacf/

腳本編寫

import angr import sys print "[*]start------------------------------------" p = angr.Project(sys.argv[1])  # 建立工程初始化二進制文件 state = p.factory.entry_state() # 獲取入口點處狀態(tài)   ''' state.posix.files[0].read_from(1)表示從標準輸入讀取一個字節(jié) '''   for _ in xrange(int(sys.argv[2])):  # 對輸入進行簡單約束（不為回車）     k = state.posix.files[0].read_from(1)     state.se.add(k!=10)   k = state.posix.files[0].read_from(1) state.se.add(k==10)  # 回車為結(jié)束符   state.posix.files[0].seek(0) state.posix.files[0].length = int(sys.argv[2])+1 # 約束輸入長度（大于實際長度也可）   print "[*]simgr start-------------------------------"   sm = p.factory.simgr(state)   # 初始化進程模擬器 sm.explore(find=lambda s:"correct!" in s.posix.dumps(1)) # 尋找運行過程中存在 “correct！”的路徑，并丟棄其他路徑 print "[*]program excuted---------------------------"   for pp in sm.found:     out = pp.posix.dumps(1)   # 表示程序的輸出     print out     inp = pp.posix.files[0].all_bytes()  # 取輸入的變量     print pp.solver.eval(inp,cast_to = str)  # 利用約束求解引擎求解輸入

運行

root@kali:~# python re50.py ppp 4 [*]start------------------------------------ /usr/local/lib/python2.7/dist-packages/cle/loader.py:729: UnicodeWarning: Unicode equal comparison failed to convert both arguments to Unicode - interpreting them as being unequal   if ilibname.strip('.0123456789') == spec.strip('.0123456789'): [*]simgr start------------------------------- [*]program excuted--------------------------- please input the key:correct!   9563   root@kali:~#

我們就得到了正確的key值 9563

關(guān)于如何利用Angr進行簡單CTF逆向分析問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。