2. 程式人生 > >angr符號執行用例解析——defcon2016quals_baby-re

angr符號執行用例解析——defcon2016quals_baby-re

阿新 發佈:2019-01-02

用例原始碼以及二進位制檔案連結:https://github.com/angr/angr-doc/tree/master/examples/defcon2016quals_baby-re

執行二進位制檔案,發現需要輸入13個字元,然後通過一系列計算判斷輸入字元是否滿足約束條件。

在IDA裡非常清晰可以看見輸入錯誤的字串及其呼叫地址:


所以avoid_addr=0x402941

而正確的字串以及地址為:


可以看出,flag將作為程式輸出,所以find_addr地址可以設定為0x40292c(親測有效)。

不過這一次就又對scanf函式進行了hook,用來建立13個符號變數。

這次是一定要hook scanf函式的。因為它預設會返回一個無約束的一個符號變數(是否是同一個符號變數還不確定),在scanf函式前面存在fflush函式,它的功能是清空緩衝區,將輸入寫入stream。

而且hook的函式,也出現了新的知識點:

	class my_scanf(angr.SimProcedure):
		def run(self, fmt, ptr):
			if 'scanf_count' not in self.state.globals:
				self.state.globals['scanf_count'] = 0
			c = self.state.globals['scanf_count']
			self.state.mem[ptr].dword = flag_chars[c]
			self.state.globals['scanf_count'] = c + 1

在符號執行的過程中,是可以建立變數的,儲存在state.globals裡面。這裡面就建立了一個變數scanf_count是記錄scanf函式的數目,使得第i個scanf函式的state.mem賦值第i個符號變數。

用例原始碼:

#!/usr/bin/env python2

"""
Author: David Manouchehri <[email protected]>
DEFCON CTF Qualifier 2016
Challenge: baby-re
Team: hack.carleton
Write-up: http://hack.carleton.team/2016/05/21/defcon-ctf-qualifier-2016-baby-re/
Runtime: ~8 minutes (single threaded E5-2650L v3 @ 1.80GHz on DigitalOcean)

DigitalOcean is horrible for single threaded applications, I would highly suggest using something else.
"""

import angr
import claripy

def main():
	proj = angr.Project('./baby-re',  load_options={'auto_load_libs': False})

	# let's provide the exact variables received through the scanf so we don't have to worry about parsing stdin into a bunch of ints.
	flag_chars = [claripy.BVS('flag_%d' % i, 32) for i in xrange(13)]
	class my_scanf(angr.SimProcedure):
		def run(self, fmt, ptr):
			if 'scanf_count' not in self.state.globals:
				self.state.globals['scanf_count'] = 0
			c = self.state.globals['scanf_count']
			self.state.mem[ptr].dword = flag_chars[c]
			self.state.globals['scanf_count'] = c + 1
	proj.hook_symbol('__isoc99_scanf', my_scanf(), replace=True)

	sm = proj.factory.simulation_manager()

	# search for just before the printf("%c%c...")
	# If we get to 0x402941, "Wrong" is going to be printed out, so definitely avoid that.
	sm.explore(find=0x4028E9, avoid=0x402941)

	# evaluate each of the flag chars against the constraints on the found state to construct the flag
	flag = ''.join(chr(sm.one_found.solver.eval(c)) for c in flag_chars)
	return flag

def test():
	assert main() == 'Math is hard!'

if __name__ == '__main__':
	print(repr(main()))



相關推薦

angr符號執行解析——defcon2016quals_baby-re

用例原始碼以及二進位制檔案連結:https://github.com/angr/angr-doc/tree/master/examples/defcon2016quals_baby-re 執行二進位制檔案,發現需要輸入13個字元,然後通過一系列計算判斷輸入字元是否滿足約束條件。 在IDA裡非常清

angr符號執行解析——defcamp_r100

用例原始碼以及二進位制檔案連結:https://github.com/angr/angr-doc/tree/master/examples/defcamp_r100 這道題非常非常簡答啦! 就是要求輸入一個password,check一下是否正確。 check函式邏輯: signed __i

angr符號執行解析——CSCI-4968-MBE

用例原始碼以及二進位制檔案連結:https://github.com/angr/angr-doc/tree/master/examples/CSCI-4968-MBE/challenges 本次用例程式碼壓軸的crackme0x05非常棒,前面比較簡單可以跳過去。 crackme0x00a 這

soapui-使用groovy腳本執行請求

mage logs ren 分享 current testcase nco resp nbsp import com.eviware.soapui.impl.wsdl.testcase.WsdlTestRunContext CURRENT_TESTCASE = test

python:discover()方法批量執行

runner 收集 使用 子目錄 utils 每次 框架 ner docs 自動化測試過程中,自動化覆蓋的功能點和對應測試用例之間的關系基本都是1 VS N,如果每次將測試用例一個個單獨執行,不僅效率很低, 無法快速反饋測試結果,而且維護起來很麻煩。在python的單元測試

selenium之百度搜索+有道翻譯的簡單testcase執行-----報告(HTMLTestRunner)

file 第一個 stream str utf-8 equal code col sele 本篇主要實現selenium自動化測試之百度搜索+有道翻譯的簡單測試用例執行,並通過HTML TestRunner生成html測試報告.這是前不久跟著視頻學習的時候,練習的第一個HT

【TestNG】TestNG併發執行詳解和範例

前言 TestNG有多種併發方式支援,方法的併發,class級的併發,test級的併發等; 根據實際應用可以靈活的配置和使用,下面分別對幾種併發方法進行說明: 一、方法級併發 方法級併發即method級併發,此種併發方式需要將xml中的suite標籤的parallel屬性設定為m

python--selenium執行例項/執行多個

我們在做selenium測試的時候呢,經常會碰到一些需要執行多個用例的情況,也就是多線程執行py程式,我們前面講過單個的py用例怎麼執行和生產html報告,下面給大家介紹下多個用例怎麼執行並自動生成html報告。一、                     寫好每個測試用例,

Python+Pytest 單元測試框架之執行(第二篇)

俗話說:無規矩不成方圓,做事做人都一樣。寫程式碼也是一樣,都需要遵循基本的程式碼規範和格式。只有瞭解和遵循規則,才能寫出更高質量的程式碼,才能在錯綜複雜的 Bug 中快速定位出問題並找到解決方案。相信大家在《Python 單元測試框架之 Pytest 剖解入門(第一篇)》 已

pytest-28-重復執行(pytest-repeat)

UNC cas 範圍 第一次 tco file 自動化 更多 設置 平常在做功能測試的時候,經常會遇到某個模塊不穩定,偶然會出現一些bug,對於這種問題我們會針對此用例反復執行多次,最終復現出問題來。自動化運行用例時候,也會出現偶然的bug,可以針對單個用例,或者針對某

jmeter之ant配置批量執行傳送郵件

1、首先我們預設Jmeter指令碼已經錄製好了,並測試通過,存在(查詢模組.jmx)指令碼 2、將JMeter所在目錄下extras子目錄裡的ant-JMeter-1.1.1.jar複製到Ant所在目錄lib子目錄之下,這樣Ant執行時才能找到"org.programme

robotframework當執行只打開一次瀏覽器的情況下關閉之前未關閉的父視窗

小編起初想了很多方法去關閉之前開啟的視窗,例如,close browser,window.close();試了以後發現window.close();這個只能關閉當前的子視窗,這樣就不能完成接下來的用例測試了。後來嘗試萬能的js來嘗試解決這個問題,沒想到竟然成功了,不多說直接

RF執行過程中遇到的問題彙總

1、Keyword 'XXXX' got positional argument after named arguments. 可以檢查一下關鍵字的位置 但在我的用例執行過程中,是因為在關鍵字裡面,變數是採用${a}=${EMPTY},${b }=${EMPTY}的形式,但

使用unittest.TestSuite組織執行

#-*-coding:utf-8-*- ''' Created on 2016年4月11日 @author: Zroad ''' import calculator import unittest class TestSuiteForCount(unitt

《帶你裝B,帶你飛》pytest成神之路2- 執行規則和pycharm執行的三種姿態

1. 簡介   今天北京下的雪好大好美啊!!!哎呀,忘記拍照片了,自己想象一下吧。言歸真傳,今天還是開始pytest的學習和修煉,上一篇寫完後群裡反響各式各樣的,幾家歡樂幾家愁,有的高興說自己剛好要用到了,正好一起學習,有的不開心說自己介面還沒有學完了,沒關係的學習本來就不是一件一蹴而就的事情,需要日積月累

Pytest系列(13)- 重複執行外掛之pytest-repeat的詳細使用

如果你還想從頭學起Pytest,可以看看這個系列的文章哦! https://www.cnblogs.com/poloyy/category/1690628.html   前言 平常在做功能測試的時候,經常會遇到某個模組不穩定,偶然會出現一些bug,對於這種問題我們會針對此用例反覆執行多次,最終

【Python測試】unittest原始碼解析一----測試是如何被執行

在Python的單元測試中,有各種不同方式來執行使用者的測試用例,在接下來的篇幅中,我們會詳細敘述每種方式的具體執行流程。 先來看下unittest中的__init__.py中提供的一個測試用例案例: import unittest class In

python unittest控制執行順序

運行時 pytho 接口測試 改名 改名字 一個 運行 如果 order 為什麽要進行順序控制呢?使用過testng的同學就知道,它相對於junit來說有更強大的功能,其中的一個功能就是依賴測試。什麽是依賴測試呢?簡單的說一下就是,A方法運行時,其中有個變量的取值是B方法的

selenium之批量執行測試生成HTML結果文件

col strftime 指定 class ast pattern fault import 測試報告 使用HTMLTestRunner運行測試套件,自動生成html測試報告: 1 import unittest, HTMLTestRunner, sendmail_ht

python利用unittest進行測試執行的幾種方式

尋找 顯示 成員 使用方式 main down 測試的 支持 ase 利用python進行測試時,測試用例的加載方式有2種: 一種是通過unittest.main()來啟動所需測試的測試模塊; 一種是添加到testsuite集合中再加載所有的被測試對象,而test