angr学习笔记（7）（malloc地址单元符号化）-白红宇

angr学习笔记（7）（malloc地址单元符号化）

阅读量：329 次

发布时间：2019-03-04

本文共 2166 字，大约阅读时间需要 7 分钟。

angr系列

文章目录

伪代码分析

在这里插入图片描述
首先记得找出起始地址的esp：

 	start_addr=0x08048699    init_state=p.factory.blank_state(addr=start_addr)    print("ESP:",init_state.regs.esp)

输出如下：
在这里插入图片描述

malloc的地址具有随机性，所以我们直接指定即可。

angr默认写入int数据，是大端写入，所以我们在这里不能缺少：

    buffer0=0x7fff0000-0x100    buffer1=0x7fff0000-0x200        buffer0_addr=0x0ABCC8A4    buffer1_addr=0x0ABCC8AC    init_state.memory.store(buffer0_addr,buffer0,endness=p.arch.memory_endness)    init_state.memory.store(buffer1_addr,buffer1,endness=p.arch.memory_endness)

这一参数endness=p.arch.memory_endness来指定参数。

接着符号化所需输入的变量：

    p1=init_state.solver.BVS("p1",8*8)    p2=init_state.solver.BVS("p2",8*8)    init_state.memory.store(buffer0,p1)    init_state.memory.store(buffer1,p2)

把栈的内存单元地址放在这个buffer0的内存单元里面，然后再去把栈的内存单元去符号化

在这里插入图片描述
buffer0=0x7fff0000-0x100也就是需要符号化的内存单元（也是把原来malloc开辟的空间，返回开辟空间的地址，把这个给丢弃，紧接着把栈中空间地址赋给buffer0）

脚本：

import angrimport sysdef main(argv):    bin_path=argv[1]    p=angr.Project(bin_path)    start_addr=0x08048699    init_state=p.factory.blank_state(addr=start_addr)    print("ESP:",init_state.regs.esp)    buffer0=0x7fff0000-0x100    buffer1=0x7fff0000-0x200    buffer0_addr=0x0ABCC8A4    buffer1_addr=0x0ABCC8AC    init_state.memory.store(buffer0_addr,buffer0,endness=p.arch.memory_endness)    init_state.memory.store(buffer1_addr,buffer1,endness=p.arch.memory_endness)    p1=init_state.solver.BVS("p1",8*8)    p2=init_state.solver.BVS("p2",8*8)    init_state.memory.store(buffer0,p1)    init_state.memory.store(buffer1,p2)    sm=p.factory.simgr(init_state)    def is_good(state):        return b'Good Job.'in state.posix.dumps(1)    def is_bad(state):        return b'Try again.' in state.posix.dumps(1)    sm.explore(find=is_good,avoid=is_bad)    if sm.found:        found_state=sm.found[0]        pass1=found_state.solver.eval(p1)        pass2=found_state.solver.eval(p2)        print("Solution: {} {}".format(pass1,pass2))    else:        raise Exception("Solution nou found")if __name__=='__main__':    main(sys.argv)

在这里插入图片描述

6143547931880145494 6146937700559509843

改变编码后

        pass1=found_state.solver.eval(p1,cast_to=bytes).decode("utf-8")        pass2=found_state.solver.eval(p2,cast_to=bytes).decode("utf-8")

记得加cast_to=bytes
在这里插入图片描述

验证

在这里插入图片描述

转载地址：http://ttve.baihongyu.com/

你可能感兴趣的文章

eclipse github团队成员修改工程后push推送

如何使用4G模块通过MQTT协议传输温湿度数据到onenet

查看>>

图解：网络硬件的发展史

查看>>

vue项目配置文件vue.config.js中devServer.proxy 使用说明

逆合成孔径雷成像（一）— 傅里叶变换基础1

查看>>

elf格式静态链接和动态链接

查看>>

openthread编译错误：error: could not find ctags

查看>>

7628 EDCCA认证寄存器修改(认证自适应)

查看>>

C#四行代码写简易计算器，超详细带注释（建议新手看）