一、符號執行概括

簡單的來說，符號執行就是在運行程序時，用符號來替代真實值。符號執行相較于真實值執行的優點在于，當使用真實值執行程序時，我們能夠遍歷的程序路徑只有一條，而使用符號進行執行時，由于符號是可變的，我們就可以利用這一特性，盡可能的將程序的每一條路徑遍歷，這樣的話，必定存在至少一條能夠輸出正確結果的分支，每一條分支的結果都可以表示為一個離散關系式，使用約束求解引擎即可分析出正確結果，這就是符號執行的簡單闡述。

[[207174]]

Angr是一個利用python開發的二進制程序分析框架，我們可以利用這個工具嘗試對一些CTF題目進行符號執行來找到正確的解答，即flag。當然，要注意的是符號執行的路徑選擇問題到現在依舊是一個很大的問題，換句話說也就是當我們的程序存在循環時，因為符號執行會盡量遍歷所有的路徑，所以每次循環之后會形成至少兩個分支，當循環的次數足夠多時，就會造成路徑爆炸，整個機器的內存會被耗盡。

二、Angr使用

個人感覺Angr在求解REVERSE題目時很有用，但在處理PWN題目時，多用在一些輔助的位置，比如尋找 strcmp 等敏感的函數等，這次我們簡單的講解一下如何使用Angr進行REVERSE題目的分析求解。我首先講解一下Angr在實踐中的幾步關鍵操作，之后會使用一個簡單的CTF題目進行實踐。推薦大家使用ipython進行簡單的實踐，ipython的tab補全可以讓你看到Angr中很多奇妙的函數。

1. 運行程序

我們在得到一個程序時，首先需要對此程序創建一個Angr工程。

p = angr.Project(‘program’) 

我們可以通過這個工程得到程序的一些信息，比如程序名p.filename等等。

然后需要將這個程序運行起來，并且處理程序的一些輸入，前面已經說過，在符號執行時，我們使用的并不是真實值，而是一個個符號，可以簡單的理解為變量，所以我們需要構造一個Angr中的符號來當做程序的輸入。

(1) 命令行參數

當程序要求命令行參數時，我們首先需要使用claripy這個模塊來定義抽象的數據。

import claripy 

claripy的BVS函數可以創建一個指定長度的抽象數據，BVS函數要求兩個參數，***個參數為變量名，第二個參數為變量長度。

argv = [p.filename,]  
arg = claripy.BVS(‘arg1′, 8)argv.append(arg1) 

這樣，我們就創建好了一個命令行參數，我們現在可以將程序運行到程序入口處，并獲得當前的一個狀態。

state = p.factory.entry_state(args=argv) 

P.factory是工廠函數的一個集合，在這里面可以調用各種各樣的函數來進行符號執行，其中entry_state()函數接收一個list作為程序的命令行參數并且返回程序入口的狀態(這個狀態將在2.2節講解)。

(2) 標準輸入

當程序需要從標準輸入處讀取數據時，需要使用read_from()函數，要注意，這個函數位于狀態中，并且我們可以對輸入進行一些約束以減少符號執行遍歷的路徑。

for _ in xrange(5):   
    k = state.posix.files[0].read_from(1) 
    state.se.add(k!=10) 

這表示我們從標準輸入讀入了5個字節，并且每個字節都不為換行符。

2. Angr中程序的幾種狀態

我們在之前提到了獲取程序入口點的狀態，狀態在Angr中表示著程序符號執行后的幾種結果，在Angr中，當獲取到程序入口點的狀態后，我們需要使用Angr的Simgr模擬器來進行符號執行

sm = p.factory.simgr(state) 

表示從入口點出創建一個模擬器來進行符號執行。

在 Angr 尋找路徑時，程序的當前狀態有多種表示。

• step()表示向下執行一個block(42bytes)，step()函數產生active狀態，表示該分支在執行中;
• run()表示運行到結束，run()函數產生deadended狀態，表示分支結束;
• explore()可以對地址進行限制以減少符號執行遍歷的路徑。例如
• sm.explore(find=0x400676,avoid=[0x40073d])
• explore()產生found狀態，表示探索的結果等等

3. 獲取輸出

當符號執行遍歷玩路徑后，會產生大量的狀態，我們則需要從這些狀態中找出我們所需要的一條路徑。

我們可以獲取當前狀態程序的輸出

print sm.found.posix.dumps(1) 

命令行參數

print sm.found.solver.eval(arg1,cast_to = str) 

標準輸入

inp = sm.found.posix.files[0].all_bytes()   
print sm.found.solver.eval(inp,cast_to = str)z 

在求解命令行參數和標準輸入的值時，我們使用了約束求解引擎來進行求解

3. Angr實踐

bin(re50)下載：

http://oj.xctf.org.cn/web/practice/defensetrain/465f6bb8f4ad4d65a70cce2bd69dfacf/

腳本編寫

import angr 
import sys 
print "[*]start------------------------------------" 
p = angr.Project(sys.argv[1])  # 建立工程初始化二進制文件 
state = p.factory.entry_state() # 獲取入口點處狀態 
  
''' 
state.posix.files[0].read_from(1)表示從標準輸入讀取一個字節 
''' 
  
for _ in xrange(int(sys.argv[2])):  # 對輸入進行簡單約束（不為回車） 
    k = state.posix.files[0].read_from(1) 
    state.se.add(k!=10) 
  
k = state.posix.files[0].read_from(1) 
state.se.add(k==10)  # 回車為結束符 
  
state.posix.files[0].seek(0) 
state.posix.files[0].length = int(sys.argv[2])+1 # 約束輸入長度（大于實際長度也可） 
  
print "[*]simgr start-------------------------------" 
  
sm = p.factory.simgr(state)   # 初始化進程模擬器 
sm.explore(find=lambda s:"correct!" in s.posix.dumps(1)) # 尋找運行過程中存在 “correct！”的路徑，并丟棄其他路徑 
print "[*]program excuted---------------------------" 
  
for pp in sm.found: 
    out = pp.posix.dumps(1)   # 表示程序的輸出 
    print out 
    inp = pp.posix.files[0].all_bytes()  # 取輸入的變量 
    print pp.solver.eval(inp,cast_to = str)  # 利用約束求解引擎求解輸入 

運行

root@kali:~# python re50.py ppp 4 
[*]start------------------------------------ 
/usr/local/lib/python2.7/dist-packages/cle/loader.py:729: UnicodeWarning: Unicode equal comparison failed to convert both arguments to Unicode - interpreting them as being unequal 
  if ilibname.strip('.0123456789') == spec.strip('.0123456789'): 
[*]simgr start------------------------------- 
[*]program excuted--------------------------- 
please input the key:correct! 
  
9563 
  
root@kali:~# 

我們就得到了正確的key值 9563