angr是早在几年前就出来了的一款很好用的工具,如今也出了docker,所以想直接安个docker来跑一跑。
docker pull angr/angr 。下载下来以后,进入docker ,这时并没有docker的运行环境的,需要使用su angr命令进入angr的用户才有相关的环境。
1 import angr 2 3 def main(): 4 p = angr.Project("elf") 5 simgr = p.factory.simulation_manager(p.factory.full_init_state()) 6 simgr.explore(find=0x400123, avoid=0x400456) 7 8 return simgr.found[0].posix.dumps(0).strip(b'� ') 9 10 if __name__ == '__main__': 11 print(main())
其规则为找到测试的程序,申请一个工厂类,然后制定规则,在哪里算是找到了,哪里是要避免的,然后将结果返回出来。dumps可以返回相应文件描述符的内容,因而要为0,得到stdin的输入。如果尝试打印出simulation_manager 的avoid,则可以看到字符串的演变过程
上面这个是需要进行一次输入时的解决方法,对于命令行传参的,需要使用到claripy进行约束。
使用claripy.BVS()创建位向量符号,claripy.BVV()创建位向量值
使用方法为argv1 = claripy.BVS("argv1",32*8),argv1就是符号的名称,32*8就是32个字符,这样就生命了一个符号
1 import angr 2 import claripy 3 4 5 def main(): 6 project = angr.Project("./elf") 7 argv1 = claripy.BVS("argv1",32*8) 8 init_state = project.factory.entry_state(args=["./elf",argv1]) 9 sm = project.factory.simulation_manager(init_state) 10 sm.explore(find=0x400123) 11 return sm.found[0].solver.eval(argv1, cast_to=bytes) 12 13 if __name__ == '__main__': 14 print(main())
cast_to=bytes是说要用char类型来显示结果