技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

linux-逆向工具-radare2入门

 收录于 未分类
   约 2080 字   预计阅读 5 分钟 
https://bing.ee123.net/img/rand?artid=99688421

linux 逆向工具 radare2入门

注:radare2系列实验共有3个。这是第一个,第二个实验是进阶用法通过它写exp,第三个实验是通过它分析rom。参考链接已经在文末给出。

1    预备知识

1.关于Radare2:

radare2是一个开源的逆向工程和二进制分析框架,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,同时具备超强的脚本加载能力,它可以运行在几乎所有主流的平台(GNU/Linux, .Windows *BSD, iOS, OSX, Solaris…)并且支持很多的cpu架构以及文件格式。 radare2工程是由一系列的组件构成,这些组件可以在 radare2 界面或者单独被使用–比如我们将要在接下来实验中使用到的rahash2, rabin2, ragg2三个组件,所有这些组件赋予了 radare2 强大的静态以及动态分析、十六进制编辑以及溢出漏洞挖掘的能力。

Kail已经自带radare2

https://i-blog.csdnimg.cn/blog_migrate/7e24592a4a3b0f6ca54a021ff37b064c.jpeg

2.熟悉常用命令:

我们可以输入-h查看帮助

https://i-blog.csdnimg.cn/blog_migrate/bf8b58221f469223010b8476e2568886.jpeg

I开头的命令主要用来获取各种信息

https://i-blog.csdnimg.cn/blog_migrate/9a0f537572fb056a86a6cbbd744a393c.jpeg

A系列的命令用于分析文件

https://i-blog.csdnimg.cn/blog_migrate/c32e315dc4eb11889eb23ebff28e9b61.jpeg

介绍下r2框架里最强的一个工具:rabin2。

rabin2可以获取包括ELF,PE,Mach-O,JavaCLASS文件的区段、头信息、导入导出表、字符串相关、入口点等等,并且支持几种格式的输出文件。我们可以使用它来获取二进制文件的基本信息。

输入man rabin2查看更多用法

https://i-blog.csdnimg.cn/blog_migrate/2a1e4b1164c8c31eebbbba13870e4e27.jpeg

https://i-blog.csdnimg.cn/blog_migrate/6174a6047855c9509158d616184937ed.jpeg

对于反汇编,我们可以输入vv进入图形化界面

https://i-blog.csdnimg.cn/blog_migrate/e94773b4796a9ae5d0abdf85e08cb572.jpeg

https://i-blog.csdnimg.cn/blog_migrate/45033565080beec870d585b4c2995977.jpeg

输入q则可以退出图形化界面,回到shell

https://i-blog.csdnimg.cn/blog_migrate/68fbca7bf0d0eac13afd0c1b15e5d863.jpeg

以上是我们接触新工具时,需要通过常见命令如man,-h等获得帮组信息的实例。

更多用法希望大家可以自行探索。

首先rabin2加上-I参数来让 rabin2打印出二进制文件的系统属性、语言、字节序、框架以及使用了哪些加固技术

https://i-blog.csdnimg.cn/blog_migrate/a5e0335e700519af5e59fe54b1698702.jpeg

我们可以看到 这是一个32位的 elf 文件,没有剥离符号表并且是动态链接的

接下来我们尝试运行它

https://i-blog.csdnimg.cn/blog_migrate/72d04a96533efb117314986f55c1f3be.jpeg

可以看到,不论是否加参数都会显示wrong。

实验任务二

接下来我们使用radare2来进行破解

https://i-blog.csdnimg.cn/blog_migrate/5198c6dc041e43bebeb65cfb3de151f7.jpeg

可以黄色输出了一个地址 (0x08048370),这就是它自动识别的程序入口点

或者我们也可以使用ie命令手动打印出入口点

https://i-blog.csdnimg.cn/blog_migrate/8023fedcfb73aaa9d1b4929c901d9ea0.jpeg

接下来输入aa或者aaa进行细致的分析

https://i-blog.csdnimg.cn/blog_migrate/4719415c4da8e0071110745c0d87a4c1.jpeg

分析完成之后, r2会将所有有用的信息和特定的名字绑定在一起,比如区段、函数、符号、字符串,这些都被称作 ‘flags’, flags 被整合进 ,一个 flag 是所有类似特征的集合

接下来我们看看所有的flag

https://i-blog.csdnimg.cn/blog_migrate/720a302264f201a441d38cddd08241c1.jpeg

我们打印出imports下面的信息

https://i-blog.csdnimg.cn/blog_migrate/3b2579b318908198ab6d036a28253f00.jpeg

为了获取更多的信息,我们可以再列出数据段里的字符串

https://i-blog.csdnimg.cn/blog_migrate/1d05c2cad01f5efd0aea6fe150fd3207.jpeg

出现了关键字,一个是success,一个是我们之前运行时的wrong….

那我们接下来就跟着success走,看看哪儿进行了调用

输入命令axt @@ str.*

https://i-blog.csdnimg.cn/blog_migrate/146559895d29cab800b4c1606f743e28.jpeg

‘axt’ 命令用来在 data/code段里找寻某个地址相关的引用(更多的操作,请看 ‘ax?’).

‘@@‘就像一个迭代器,用来在地址空间里不断地匹配后面一系列相关的命令(更多操作,请看 ‘@@?’)

‘str.*’ 是一个通配符,用来标记所有以 ‘str.‘开头的信息,不光会列出字符串标志,同时也包括函数名,找到它们到底在哪里以及何处被调用。

接下来我们看看radare2分析出来哪些函数

https://i-blog.csdnimg.cn/blog_migrate/842bddcb8c8cfa8d2b5c19317044aaff.jpeg

看到两个引起我们注意的sym.beet和sym.rot13

接下来我们用 ’s main’  指令定位到main函数入口处,然后用 ‘pdf’输出反汇编代码

https://i-blog.csdnimg.cn/blog_migrate/7830a14b182a7bc51bcd57741ec21538.jpeg

分析函数的执行流程,我们知道二进制程序是通过获取 beet函数的返回结果来判断是否正确

因此我们去beet函数反汇编的部分看看

因此我们定位到beet

输入pdf@sym.beet进行跳转

https://i-blog.csdnimg.cn/blog_migrate/94d105c0f19ee706c8d896e55b182909.jpeg

自动跳转到beet函数的反汇编部分

https://i-blog.csdnimg.cn/blog_migrate/8818aab19a95f0f37c79e67048549226.jpeg

我们看到输入的参数被拷贝到了一个缓存空间里,这个空间的地址是 ‘ebp – local_88h’ 。 ’local_88h’ 就是十进制的 136。由于4个字节会被用来保存 ebp 的地址,4个字节被用来保存返回地址,所以这个缓冲区得大小是 128个字节.它们加起来刚好是 136. 我们输入的参数被拷贝到缓冲区后被用来和 sym.rot13的返回结果作对比, Rot-13 是一个著名的替换密码算法,在ctf和crackme中被广泛使用,这个函数接受了9个十六进制值作为参数,但是上图中看起来r2好像没有识别出来到底是什么字符,这里我们需要用 ‘ahi s’ 来做些处理.

实验任务三

输入

https://i-blog.csdnimg.cn/blog_migrate/bbb3b9a925ba4bae00c9c1d2a0c0da97.jpeg

ahi s 是用来设置字符串特定的偏移地址(使用 ahi? 获取更多用法),@@是一个迭代器,可以用来接受后面输入的多个参数,执行完这条命令后,图形视图会自动刷新

https://i-blog.csdnimg.cn/blog_migrate/871c0d60d05a3141dde76ba211b87ee0.jpeg

可以看到

0x080485a3

0x080485ad

0x080485b7

后面的字符都已经显示出来了

我们已经看到了之前无法识别的字符串’Megabeets’(根据字节序反向压栈顺序得到).

这个二进制文件将我们传入的参数来和经过 rot13 处理后的 ‘Megabeets’ 作比较

接下来我们通过rahash2求出这个字符串的校验值

https://i-blog.csdnimg.cn/blog_migrate/6974f26df0e08c43706939df44470b41.jpeg

至此,程序的逻辑就很清楚了:

‘Zrtnorrgf’ 就是用来和我们输入的字符串作比较,成功则返回success

我们验证一下:

接下来输入ood?进入调试模式

将Zrtnorrgf作为参数进行调试

输入dc查看结果

https://i-blog.csdnimg.cn/blog_migrate/9102040b18d51622b5dbba9e4bbe6f0a.jpeg

输出了success,我们成功破解了这个小软件,也借此掌握了radare2的基本用法

radare2官网:

r2入门指南:

更新于 2025-01-07
 无标签
返回 | 主页