angr也可以将符号写在内存里,控制内存中的值,结合任意位置开始有奇效,但就是慢sym-write

     p = angr.Project('./issue', load_options={"auto_load_libs": False})

     state = p.factory.entry_state(add_options={angr.options.SYMBOLIC_WRITE_ADDRESSES})

     u = claripy.BVS("u", 8)

     state.memory.store(0x804a021, u)

因为最近好像要开始0ctf了,再分析一道0ctf的题目,0ctf_trace

这个题目两个文件,一个.bin的看起来像是二进制文件,其中trace是MIPS指令集。上万行,头大。

首先通过grep jal可以得到所调用的所有函数的起始地址,接着grep jr r31得到函数的结束地址

trace中总共三个函数,有一个函数运行了100多次,虽然每个函数还是很长就是了

然后分析函数得到Flag的地址,程序首先对常量字符初始化了,然后加上了一串未知字符串,就是flag

 #!/usr/bin/env python2

 from __future__ import print_function

 import struct

 import angr

 MAIN_START = 0x4009d4

 MAIN_END = 0x00400c18

 FLAG_LOCATION = 0x400D80

 FLAG_PTR_LOCATION = 0x410EA0

 def load_trace():

     res = []

     delay_slots = set()

     with open("./trace_8339a701aae26588966ad9efa0815a0a.log") as f:

         for line in f:

             if line.startswith('[INFO]'):

                 addr = int(line[6:6+8], 16)

                 res.append(addr)

                 if ("move r1, r1" in line):

                     delay_slots.add(addr)

     return res, delay_slots

 def main():

     trace_log, delay_slots = load_trace()

     project = angr.Project("./data.bin", load_options={

         'main_opts': {

             'backend': 'blob',

             'base_addr': 0x400770,

             'arch': 'mipsel',

         },

     })

     state = project.factory.blank_state(addr=MAIN_START)

     state.memory.store(FLAG_LOCATION, state.solver.BVS("flag", 8*32))

     state.memory.store(FLAG_PTR_LOCATION, struct.pack("<I", FLAG_LOCATION))

     sm = project.factory.simulation_manager(state)

     choices = [state]

     print("Tracing...")

     for i, addr in enumerate(trace_log):

         if addr in delay_slots:

             continue

         for s in choices:

             if s.addr == addr:

                 break

         else:

             raise ValueError("couldn't advance to %08x, line %d" % (addr, i+1))

         if s.addr == MAIN_END:

             break

         if s.addr + 4 in delay_slots:

             choices = project.factory.successors(s, num_inst=2).successors

         else:

             choices = project.factory.successors(s, num_inst=1).successors

     state = s

     print("Running solver...")

     solution = state.solver.eval(state.memory.load(FLAG_LOCATION, 32), cast_to=bytes).rstrip(b'\0').decode('ascii')

     print("The flag is", solution)

     return solution

 def test():

     assert main() == "0ctf{tr135m1k5l96551s9l5r}"

 if __name__ == "__main__":

     main()

angr进阶(5)内存操作的更多相关文章

  1. Java进阶3. 内存回收机制

    Java进阶3. 内存回收机制 20131029 前言: 学过C++的都知道,C++中内存需要程序员自己维护.说道这里,很多开发的同学就感觉很痛苦,当他转向Java的时候,就会说你看Java多好啊,程 ...

  2. 【腾讯优测干货分享】如何降低App的待机内存(四)——进阶:内存原理

    本文来自于腾讯优测公众号(wxutest),未经作者同意,请勿转载,原文地址:http://mp.weixin.qq.com/s/3FTPFvZRqyAQnU047kmWJQ 1.4进阶:内存原理 在 ...

  3. java 21-11 数据输入、输出流和内存操作流

    IO数据流: 可以读写基本数据类型的数据 数据输入流:DataInputStream DataInputStream(InputStream in)   数据输出流:DataOutputStream ...

  4. 【转】《深入理解计算机系统》C程序中常见的内存操作有关的典型编程错误

    原文地址:http://blog.csdn.net/slvher/article/details/9150597 对C/C++程序员来说,内存管理是个不小的挑战,绝对值得慎之又慎,否则让由上万行代码构 ...

  5. c++ void,内存操作函数

    void的含义 void的字面意思是“无类型”, void * 则为“无类型指针”, void * 可以指向任何类型的数据 void几乎只有“注释”和限制程序的作用,因为从来没有人会定义一个void变 ...

  6. java基础知识回顾之javaIO类--内存操作流ByteArrayInputStream和ByteArrayOutputSteam(操作字节数组)

    直接看代码: package cn.itcast.io.p6.bytestream; import java.io.ByteArrayInputStream; import java.io.ByteA ...

  7. Java API —— IO流(数据操作流 & 内存操作流 & 打印流 & 标准输入输出流 & 随机访问流 & 合并流 & 序列化流 & Properties & NIO)

    1.操作基本数据类型的流     1) 操作基本数据类型 · DataInputStream:数据输入流允许应用程序以与机器无关方式从底层输入流中读取基本 Java 数据类型.应用程序可以使用数据输出 ...

  8. 【C++基础】内存操作 getMemory改错

    内存操作的考察点:①指针 ②变量生存期及作用范围 ③动态内存申请和释放 笔试题************************************************************* ...

  9. 《深入理解计算机系统》C程序中常见的内存操作有关的典型编程错误

    对C/C++程序员来说,内存管理是个不小的挑战,绝对值得慎之又慎,否则让由上万行代码构成的模块跑起来后才出现内存崩溃,是很让人痛苦的.因为崩溃的位置在时间和空间上,通常是在距真正的错误源一段距离之后才 ...

  10. Java基础知识强化之IO流笔记58:内存操作流

    1. 内存操作流: 用来操作处理临时存储的信息的. (1)操作字节数组: ByteArrayInputStream ByteArrayOutputStream 代码示例: package cn.itc ...

随机推荐

  1. windows10 docker镜像存储位置修改

    =====================================下面做法无效,无法成功启动docker=================================== 安装Docker ...

  2. PHP CURL获取页面内容输出例子

    使用PHP curl获取页面内容或提交数据,有时候希望返回的内容作为变量储存,而不是直接输出.这个时候就必需设置curl的CURLOPT_RETURNTRANSFER选项为1或true. 1.curl ...

  3. 锐捷交换机配置DHCP SERVER给固定的MAC地址分配静态IP

    今天突发奇想,想给自己的手机分配固定地址,使得接入公司无线网络时每次都取到同一ip地址,这样可以排除认证登录问题. 上网溜达一下,记录下锐捷官方的[常见问题]如下,经验证可行. 需求: 给MAC地址为 ...

  4. Mac上常用工具总结

    iOS开发辅助工具 Reveal :Xcode辅助界面调试工具 官网地址:https://revealapp.com/download/ 图标: SimPholders : 快速打开模拟器中的应用程序 ...

  5. Springboot搭建SSM+JSP的web项目

    Springboot搭建SSM+JSP的web项目 一:创建项目结构: 项目结构分为三个部分: 1 后端项目开发文件: 包: Util         工具包 Mapper      db层 Serv ...

  6. 【ASP】session实现购物车

    1.问题提出 利用session内置对象,设计并实现一个简易的购物车,要求如下: 1)利用用户名和密码,登录进入购物车首页 2)购物首页显示登录的用户名以及该用户是第几位访客.(同一用户的刷新应该记录 ...

  7. Servlet 监听器Listner

    定义:      专门用于对其他对象身上发生的事件或状态改变进行监听和相应处理的对象,当被监视的对象发生情况时,立即采取相应的行动. Servlet 规范为每种事件监听器都定义了相应的接口,它用于监听 ...

  8. Reactjs组件中的方法为什么绑定this?

    前言:Reactjs中的定义的方法其实是基于实例的原型方法:es6默认严格模式   问题:在Reactjs组件中写入以下代码,那么执行结果会是什么呢? ··· 结果是这样的: 对的,你没看错,不是do ...

  9. 使用Apache服务部署静态网站

    1970年,作为互联网前身的ARPANET(阿帕网)已初具雏形,并开始向非军用部门开放,许多大学和商业部门开始接入.虽然彼时阿帕网的规模(只有4台主机联网运行)还不如现在的局域网成熟,但是它依然为网络 ...

  10. 浅析HSTS

    浅析HSTS 一.HSTS是什么? HSTS全称:HTTP Strict Transport Security,意译:HTTP严格传输安全,是一个Web安全策略机制. 二.HSTS解决什么问题? 它解 ...