学习结合b站的视频

环境配置：Ubuntu20.04+python3

angr安装教程

切换到angr环境：workon angr

退出angr环境：deactivate

什么是符号执行：

符号执行（Symbolic Execution）是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时，该程序会使用符号值作为输入，而非一般执行程序时使用的具体值。在达到目标代码时，分析器可以得到相应的路径约束，然后通过约束求解器来得到可以触发目标代码的具体值。[1] 符号模拟技术（symbolic simulation）则把类似的思想用于硬件分析。符号计算（Symbolic computation）则用于数学表达式分析。我理解为更厉害的爆破。

基础语句：

import angrproj = angr.Project('文件名') #新建一个工程
init_state=proj.factory.entry_sate() #设置程序的入口
sm=proj.factory.simulation_manager(init_state) #执行程序
sm.explore(find=0x.....，avoid=0x.....) #执行到某个条件,避免某个条件sm.found[0] #找到符合条件的值
found_state=sm.found[0]
found_state.posix.doumps(0)  #获得我们最开始的输入
found_state.posix.doumps(1)  #获得我们最后的输出

脚本例子：

import angr
import sysdef main(argv):p = angr.Project('')initial_state = p.factory.entry_state()sm = p.factory.simgr(initial_state)sm.explore(find=good_addr, avoid=bad_addr) if sm.found:flag = sm.found[0]print(flag.posix.dumps(sys.stdin.fileno()))else:raise Exception('Cannot find')
if __name__ == '__main__':main(sys.argv)

python 02.py 02.exe

来看题目：

32位无壳，IDApro打开

主函数很简单，我们主要分析 vm_operad(v4, 114)函数

find地址：

void地址：

脚本解密·

import angr
p = angr.Project('signal.exe')
st = p.factory.entry_state()
sm = p.factory.simulation_manager(st)
sm.explore(find=0x40175E, avoid=0x4016E6)
print(sm.found[0].posix.dumps(0))

最后的flag{757515121f3d478}

我对angr第一概念就是，更厉害的爆破！！太厉害了！！

angr使用补充：

输入多个参数：

import angr
import claripy
p = angr.Project('')init_addr = 0x08048980  #scanf的下一条指令地址
state = p.factory.blank_state(addr=init_addr)  #创建一个状态，并将该地址赋给它，也就是跳过输入，直接执行下一条指令,此处使用.blank_state()而不再是.entry_state()#定义三个位向量，即三个输入
p1 = claripy.BVS('p1',32)   #32位寄存器（符号向量）
p2 = claripy.BVS('p2',32)
p3 = claripy.BVS('p3',32)state.regs.eax = p1    #.regs.eax 访问eax这个寄存器
state.regs.ebx = p2
state.regs.edx = p3
sm = p.factory.simulation_manager(state)
def good(state):return b'Good Job.' in state.posix.dumps(1)
def bad(state):return b'Try again.' in state.posix.dumps(1)
sm.explore(find = good, avoid = bad)
if sm.found:find_state = sm.found[0]flag1 = find_state.solver.eval(p1)#将探索成功时的第一个输入赋给flag1，下面两个类似flag2 = find_state.solver.eval(p2)flag3 = find_state.solver.eval(p3)print('{:x} {:x} {:x}'.format(flag1,flag2,flag3))

引用了大佬的博客代码

BUUCTF-[网鼎杯 2020 青龙组]singal——angr学习记录相关推荐

[BUUCTF][网鼎杯 2020 青龙组]jocker 分析与记录
无壳,IDA打开可以直接进入main函数: 第12行调用VirtualProtect函数更改了offset encrypt处的访问保护权限 BOOL VirtualProtect(LPVOID lpA ...
Buuctf[网鼎杯 2020 青龙组]AreUSerialz
[网鼎杯 2020 青龙组]AreUSerialz 打开题目仔细阅读源码 <?phpinclude("flag.php"); highlight_file(__FILE__) ...
Buuctf [网鼎杯 2020 青龙组]jocker 题解
目录一.主函数逻辑二.wrong函数和omg函数--假flag 1.wrong函数 2.omg函数 3.假flag 三.encrypt和finally函数--真flag 1.打开sp指针偏移显示 ...
re -25 buuctf [网鼎杯 2020 青龙组]jocker
[网鼎杯 2020 青龙组]jocker 前话:ida7.6设置栏内没有general,可以通过ctrl+shift+p打开命令面板,搜索option打开设置选项,于Disassembly设置堆栈显示 ...
BUUCTF·[网鼎杯 2020 青龙组]boom·WP
BUUCTF在线评测 (buuoj.cn) 附件是一个可运行的文件回车出现: 分析猜测是C编写的,拉到编译器,发现提示是二进制文件那就用010Editor打开查找了一下flag,这不就是跟附 ...
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker 先看下文件信息,没有加壳,32位程序运行一下,又是一道字符串比较的题目用IDA32位打开,分析一下 // positive ...
undefsafe原型链[网鼎杯 2020 青龙组]notes
感觉是考原型链但还是有点不知道如何下手,呜呜呜呜呜呜. 从浅入深 Javascript 原型链与原型链污染 [网鼎杯 2020 青龙组]notes var express = require('exp ...
[网鼎杯 2020 青龙组]AreUSerialz WP
[网鼎杯 2020 青龙组]AreUSerialz WP 看到题目,首先进入代码审计 <?phpinclude("flag.php");//在文件中插入flag.php文件的 ...
[网鼎杯 2020 青龙组]jocker
[网鼎杯 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的.在程 ...

BUUCTF-[网鼎杯 2020 青龙组]singal——angr学习记录

来看题目：

angr使用补充：

BUUCTF-[网鼎杯 2020 青龙组]singal——angr学习记录相关推荐

最新文章

热门文章