Hetian lab day 10 radare2入门

文章目录

  • 预备知识
  • 实验目的
  • 实验环境
  • 实验
    • step 1
    • step 2
  • step 3
  • 课后习题

预备知识

radare2是一个开源的逆向工程和二进制分析框架,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,同时具备超强的脚本加载能力,它可以运行在几乎所有主流的平台(GNU/Linux, .Windows *BSD, iOS, OSX, Solaris…)并且支持很多的cpu架构以及文件格式。 radare2工程是由一系列的组件构成,这些组件可以在 radare2 界面或者单独被使用–比如我们将要在接下来实验中使用到的rahash2, rabin2, ragg2三个组件,所有这些组件赋予了 radare2 强大的静态以及动态分析、十六进制编辑以及溢出漏洞挖掘的能力。

实验目的

通过破解一个crackme来学习神器radare2的使用。

实验环境

合天网安实验室虚拟机:radare2入门
服务器:kali,IP地址:随机分配
辅助工具:radare2(kali自带)
测试文件在桌面“1”文件夹

实验

step 1

在桌面打开终端,进入测试文件所在文件夹

cd 1
ls

首先rabin2加上-I 参数 来让 rabin2 打印出二进制文件的系统属性、语言、字节序、框架、以及使用了哪些加固技术。

rabin2 -I megabeets_0x1

Hetian lab day 10 radare2入门_第1张图片
我们可以看到这是一个32位的 elf 文件,没有剥离符号表并且是动态链接的。
接下来我们尝试运行它:

./megabeets_0x1
./megabeets_0x1 hetian

运行结果如下,无论是否有参数,结果均报错。
Hetian lab day 10 radare2入门_第2张图片

step 2

接下来我们使用radare2来进行破解

r2 ./megabeets_0x1

在这里插入图片描述
可以黄色部分输出了一个地址 (0x08048370),这就是它自动识别的程序入口点
或者我们也可以使用ie命令手动打印出入口点
Hetian lab day 10 radare2入门_第3张图片
接下来输入aa或者aaa进行细致的分析
Hetian lab day 10 radare2入门_第4张图片
分析完成之后, r2会将所有有用的信息和特定的名字绑定在一起,比如区段、函数、符号、字符串,这些都被称作 ‘flags’, flags 被整合进 ,一个 flag 是所有类似特征的集合
接下来我们看看所有的flag
Hetian lab day 10 radare2入门_第5张图片
我们打印出imports下面的信息
Hetian lab day 10 radare2入门_第6张图片
为了获取更多的信息,我们可以再列出数据段里的字符串
Hetian lab day 10 radare2入门_第7张图片
出现了关键字,一个是success,一个是我们之前运行时的wrong….
那我们接下来就跟着success走,看看哪儿进行了调用
输入命令axt @@ str.*
在这里插入图片描述
‘axt’ 命令用来在 data/code段里找寻某个地址相关的引用(更多的操作,请看 ‘ax?’).
'@@'就像一个迭代器,用来在地址空间里不断地匹配后面一系列相关的命令(更多操作,请看 ‘@@?’)
‘str.*’ 是一个通配符,用来标记所有以 'str.'开头的信息,不光会列出字符串标志,同时也包括函数名,找到它们到底在哪里以及何处被调用。
接下来我们看看radare2分析出来哪些函数
Hetian lab day 10 radare2入门_第8张图片
看到两个引起我们注意的sym.beet和sym.rot13
接下来我们用 ‘s main’ 指令定位到main函数入口处,然后用 'pdf’输出反汇编代码
Hetian lab day 10 radare2入门_第9张图片
分析函数的执行流程,我们知道二进制程序是通过获取 beet函数的返回结果来判断是否正确
因此我们去beet函数反汇编的部分看看
因此我们定位到beet
输入[email protected]进行跳转
Hetian lab day 10 radare2入门_第10张图片
自动跳转到beet函数的反汇编部分
Hetian lab day 10 radare2入门_第11张图片
们看到输入的参数被拷贝到了一个缓存空间里,这个空间的地址是 ‘ebp – local_88h’ 。 ‘local_88h’ 就是十进制的 136。由于4个字节会被用来保存 ebp 的地址,4个字节被用来保存返回地址,所以这个缓冲区得大小是 128个字节.它们加起来刚好是 136. 我们输入的参数被拷贝到缓冲区后被用来和 sym.rot13的返回结果作对比, Rot-13 是一个著名的替换密码算法,在ctf和crackme中被广泛使用,这个函数接受了9个十六进制值作为参数,但是上图中看起来r2好像没有识别出来到底是什么字符,这里我们需要用 ‘ahi s’ 来做些处理.

step 3

输入
在这里插入图片描述
ahi s 是用来设置字符串特定的偏移地址(使用 ahi? 获取更多用法),@@是一个迭代器,可以用来接受后面输入的多个参数,执行完这条命令后,图形视图会自动刷新

Hetian lab day 10 radare2入门_第12张图片
可以看到
0x080485a3
0x080485ad
0x080485b7
后面的字符都已经显示出来了
我们已经看到了之前无法识别的字符串’Megabeets’(根据字节序反向压栈顺序得到).
这个二进制文件将我们传入的参数来和经过 rot13 处理后的 ‘Megabeets’ 作比较
接下来我们通过rahash2求出这个字符串的校验值
在这里插入图片描述

至此,程序的逻辑就很清楚了:
‘Zrtnorrgf’ 就是用来和我们输入的字符串作比较,成功则返回success
我们验证一下:
接下来输入ood?进入调试模式
将Zrtnorrgf作为参数进行调试
输入dc查看结果
Hetian lab day 10 radare2入门_第13张图片
输出了success,我们成功破解了这个小软件,也借此掌握了radare2的基本用法

课后习题

Hetian lab day 10 radare2入门_第14张图片
Hetian lab day 10 radare2入门_第15张图片
Hetian lab day 10 radare2入门_第16张图片

你可能感兴趣的:(合天实验室,逆向)