Radare2进阶

1    预备知识

关于Radare2：

radare2是一个开源的逆向工程和二进制分析框架，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，同时具备超强的脚本加载能力，它可以运行在几乎所有主流的平台（GNU/Linux, .Windows *BSD, iOS, OSX, Solaris…）并且支持很多的cpu架构以及文件格式。 radare2工程是由一系列的组件构成，这些组件可以在 radare2 界面或者单独被使用–比如我们将要在接下来实验中使用到的rahash2, rabin2, ragg2三个组件，所有这些组件赋予了 radare2 强大的静态以及动态分析、十六进制编辑以及溢出漏洞挖掘的能力。

Kali已经自带radare2

1.1  实验任务一

拿到小程序后，我们首先使用rabin2查看文件相关信息

由上图可以看到二进制文件是NX保护的，这意味着我们不会有一个可执行的堆栈依赖。这就加到了我们写exp的难度，同样，这也给我们的学习与挑战带来了乐趣。

现在我们来看看程序的反汇编。我们先以调试模式打开

然后对符号，函数进行分析

接下来继续执行，直到到达main函数

接下来我们使用vv进入图形化模式

我们可以看到main（）函数中通过scanf()帮助我们输入，然后将输入值传递给sym.beet，因此定位到处理我们输入的beet函数

我们看到，用户的输入[arg_8h]被复制到了缓冲区[local_88h]，然后正如我们在上一个radare2入门实验中看到的一样,字符串Megabeets将会通过rot13加密，加密后的结果将会与我们的输入进行比较。

此处存在的漏洞是：程序不检查输入的大小，并将输入复制到缓冲区。这意味着，如果我们输入一个大于缓冲区大小的输入，就会导致缓冲区溢出并破坏堆栈

接下来我们来看看我们的exp该怎么编写

1.2  实验任务二

我们的目标是在系统上得到一个shell。首先，我们需要验证确实存在一个易受攻击的函数，然后，我们将找到有效负载覆盖堆栈的偏移量。

我们使用radare2的一个框架ragg2, ragg2允许我们生成一个名为deBruijn序列的循环模式，并检查有效负载覆盖缓冲区的确切偏移量。

接下来我们要做三件事情：

1.       使用tagg2将De Bruijn模式的文件写入

2.       创建rarun2配置文件和设置输出文件作为标准输入

3.       让radare2自动找到偏移值

我们执行了我们的二进制文件，并通过rarun2传递了pattern.txt的内容到stdin，并收到了信号量11

我们注意到提示指向0x41417641？这是一个无效的地址，代表“AAvA”（ascii），这是我们前面生成的模式的一部分。

我们由上图可以知道140个字节后将会出现返回地址的覆盖，我们可以开始制作我们的payload了。

前面提到我们的机器受ASLR保护所以我们不能预测地址，libc将加载到内存并且地址会发生变换。此外，我们的二进制程序开启NX，这意味着栈是不可执行的，我们不能仅仅把shellcode写入堆栈，跳转到它来执行。虽然这些保护阻止我们使用一些技术开发exp，但它们并不是绝对有效的，我们可以很容易地制造出其他的payload绕过它们

我们再次以调试模式打开二进制文件，并查看库和它使用的函数。

上图展示了二进制文件使用的库，这里只有一个库，即libc

接下来我们查看导入的函数

我们已经看到了puts和scanf了，我们可以利用这两个函数来创建一个完美的漏洞。我们的exp的编写基于以下的逻辑：我们可以控制该程序的流程，将尝试执行系统（“/bin/sh”）从而弹出一个shell。、

因此我们需要完成以下几件事情：

1.     泄露puts的真实地址

2.     计算libc的基址

3.     计算system的地址

4.     找到包含/bin/sh字符串的libc的地址

5.     使用/bin/sh进行系统调用，并且拿到shell

1.3  实验任务三

先来看看我们exp的框架（exploit1.py）

我们需要填入的就是三个地址

我们将利用radare2找到这三个地址

得到三个地址后将其意义填入我们的exp

接下来执行看看效果如何

我们执行了三遍，可以看到每次执行后的puts的地址都会发生变化。因此我们不能提前预测地址。现在我们需要找到puts在libc中的偏移，然后计算lib的基址。之后我们根据基址然后使用对应的偏移来计算出system,exit,”/bin/sh”的真实地址。

Exp（exploit.py）的框架是这样的：

我们接下来的任务就是使用radare2找到偏移量

现在所需要的偏移我们都找到了。接下来我们将偏移量填入框架中

接下来执行看看

可以看到成功拿到了shell。

自行学习radare2的其他进阶用法

参考链接：

Crackme网址：

https://github.com/ITAYC0HEN/A-journey-into-Radare2/blob/master/Part%201%20-%20Simple%20crackme/megabeets_0x2

radare2官网：

www.radare.org

r2入门指南：

https://www.megabeets.net/a-journey-into-radare-2-part-2/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课