|
http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_Reversing&no=127 [º¹»ç]
angr¸¦ ÀÌ¿ëÇØ ÇÊ¿äÇÑ ÀԷ°ªÀ» ã´Â ½ºÅ©¸³Æ®¸¦ Â¥°íÀÖ½À´Ï´Ù.
Ÿ°Ù ¼Ò½º´Â ¾Æ·¡¿Í °°½À´Ï´Ù.
==================================================================
// gcc -o t1 t1.c -m32 -fno-stack-protector -mpreferred-stack-boundary=2 -no-pie -fno-pic
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char *argv[]){
int canary;
char buff[0x50];
scanf("%d", &canary);
if(canary == 0xdeadbeef){
read(0, buff, 0x100);
}
return 0;
}
==================================================================
canary¿¡ 0xdeadbeef¸¦ ÀÔ·ÂÇÏ°í read()¿¡¼ 0x100¸¸Å ÀÔ·Â¹Þ¾Æ ½ºÅà ¹öÆÛ ¿À¹öÇ÷ο찡 ¹ß»ýÇÏ´Â ½Ã³ª¸®¿À¸¦ ±â´ëÇÏ°í ¾Æ·¡ ½ºÅ©¸³Æ®¸¦ ÀÛ¼ºÇß½À´Ï´Ù.
==================================================================
import angr, claripy
proj = angr.Project("./t1", load_options={"auto_load_libs":False})
input1 = [claripy.BVS("input1_%d" % i, 8*1) for i in range(0,4,1)] # canary input
input2 = [claripy.BVS("input2_%d" % i, 8*1) for i in range(0,0x100,1)] # buff input
input_data = claripy.Concat(*input1 + [claripy.BVV(b'\n')] + [*input2])
def debugging(state):
print("[*] before mem_write")
print("[*] ip: ", hex(state.ip.args[0]))
print("[*] input: ", state.posix.dumps(0))
print("[*] callstack")
print(state.callstack)
st = proj.factory.call_state(0x8049172, stdin=input_data)
st.inspect.b('mem_write', when=angr.BP_BEFORE, action=debugging)
simgr = proj.factory.simulation_manager(st)
while len(simgr.unconstrained) == 0:
simgr.step()
print('Done')
ust = simgr.unconstrained[0]
print('input: ', ust.solver.eval(input_data, cast_to=bytes))
==================================================================
À§ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϸé Àß µ¹´Ù°¡ ƯÁ¤ ÁöÁ¡¿¡¼ ¸ØÃç¹ö¸³´Ï´Ù.
¸ØÃá ´ç½Ã¿¡ µð¹ö±ë ÇÔ¼ö¿¡¼ Ãâ·ÂÇÑ ³»¿ëÀº ¾Æ·¡¿Í °°½À´Ï´Ù.
==================================================================
[*] before mem_write
[*] ip: 0x8100008
[*] input: b':000\n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
[*] callstack
Backtrace:
Frame 0: 0x8049172 => 0x8049050, sp = 0x7ffeff98
Frame 1: 0x0 => 0x0, sp = 0xffffffff
==================================================================
Á¦°¡ ºÃÀ» ¶§, ¹®Á¦Á¡Àº ´ÙÀ½°ú °°½À´Ï´Ù.
1. ù 4¹ÙÀÌÆ®¸¦ ¹Ù²Ù¸é¼ °è¼Ó ½ÃµµÇÏ´Â°É ±â´ëÇßÁö¸¸, À§ ÀÔ·ÂÀ» ¸¶Áö¸·À¸·Î ´õÀÌ»ó mem_write À̺¥Æ®°¡ ¹ß»ýÇÏÁö ¾ÊÀ½.
2. ip°¡ ºñÁ¤»óÀûÀÎ °ªÀε¥ unconstrained »óÅ·ΠµÇÁö¾ÊÀ½.
3. ÀԷ°ªÀ» ¸¸µé±â À§ÇØ claripy.ConatÀ» »ç¿ëÇߴµ¥ ¿©±â¼ À߸ø »ç¿ëÇßÀ» °¡´É¼ºÀÌ ÀÖÀ½.
¾î¶»°Ô ÇØ°áÇؾßÇÒÁö ¸ð¸£°Ú³×¿ä..
|
Hit : 1706 Date : 2021/04/24 01:41
|
97, 
1/5 
