[网鼎杯 2020 青龙组]singal 1

前言

在主函数中找到了一个vm的译码器，译码器主要是解释传入的opcode，然后对我们输入的字符操作，这里我们发现他是单字节比较的，方法很多可以使用单字节映射，也可以是使用符号化执行，当然也可以硬着头皮去看

Angr

import angr
import sys

def main(argv):
  path_to_binary = f'./signal.exe'
  project = angr.Project(path_to_binary)
  initial_state = project.factory.entry_state(
    add_options = { angr.options.SYMBOL_FILL_UNCONSTRAINED_MEMORY,
                    angr.options.SYMBOL_FILL_UNCONSTRAINED_REGISTERS}
  )
  simulation = project.factory.simgr(initial_state)

  def is_successful(state):
    stdout_output = state.posix.dumps(sys.stdout.fileno())
    return b'good,The answer format is:flag {}' in stdout_output # :boolean

  def should_abort(state):
    stdout_output = state.posix.dumps(sys.stdout.fileno())
    return b'what a shame...' in stdout_output
  simulation.explore(find=is_successful, avoid=should_abort)

  if simulation.found:
    solution_state = simulation.found[0]
    print(solution_state.posix.dumps(sys.stdin.fileno()).decode())
  else:
    raise Exception('Could not find the solution')

if __name__ == '__main__':
  main(sys.argv)

找到程序通过输出的话，和不通过输出的话，然后我们通过符号化执行，判断出输入的值

Ponce

使用ponce的话就麻烦很多，首先启动调试

将输入设置为符号化

到达判断点

这样就分析出了第一位，我们可以修改EIP一步步来，这样就可以得到所有的输入