97,

2/5

turttle2s

angr에서 스택 주소 구하기

http://www.hackerschool.org/HS_Boards/zboard.php?desc=desc&no=129 [복사]

angr에서 스택으로 리턴하는 스크립트를 만들려고합니다.
(aslr은 꺼져있습니다.)
그런데 기본적으로 angr에서 sp랑 gdb로 확인했을 때 sp랑 차이가 납니다.

[ === angr 코드 === ]
# base.py
import angr, claripy
import code
import sys
from angr import sim_options as so

def main():
    proj = angr.Project("./t2",load_options={"auto_load_libs":False})
    extras = {so.REVERSE_MEMORY_NAME_MAP, so.UNICORN_TRACK_STACK_POINTERS}
    main_addr = proj.loader.find_symbol("main").rebased_addr
    st = proj.factory.call_state(main_addr, add_options=extras)
    print(st.regs.pc)
    print(st.regs.sp)
    #sm = proj.factory.simulation_manager(st)

#    code.interact(local=locals())

if __name__ == "__main__":
    main()

[ === angr결과 === ]
$python base.py
<BV32 0x8049162>
<BV32 0x7ffefffc>

[ == gdb == ]
gdb-peda$ b *main
Breakpoint 1 at 0x8049162
gdb-peda$ r
gdb-peda$ p/x $eip
$2 = 0x8049162
gdb-peda$ p/x $esp
$3 = 0xffffd51c
gdb-peda$

angr에서는 0x7f로 시작하지만, gdb에서 확인해보면 0xff로 시작합니다.
angr에서는 바이너리를 cle가 따로 로드하기 때문에 실제 스택 주소랑 다를 것이라고 예상은 하지만, 문제는 이겁니다.
angr에서 취약한 상태를 찾고 스택으로 리턴하는 익스플로잇을 생성하려면 주소를 알아야하는데, angr만으로는 불가능한건가요?

Hit : 1837 Date : 2021/05/24 12:35


turttle2s	스택은 변동이 커서 angr에서는 다루지 않는다네요	2021/05/26
군인	해결완료	2021/05/31
somass	택은 변동이 커서 angr에서는 다루지 않는다네요	2022/09/16