案例来自
RITSEC 2022 DataFun

这篇随笔记录一次调教 angr 拆解某个比较弱的 VM 的经历
（字节码的控制流不因输入改变、检验函数不由 VM 执行）

心路历程

函数 sub_1588 中有一个未被修复的跳转表
修复之可以看出这是一个虚拟机

综合位于 main 函数中初始化的函数
以及 sub_1588 中对 vm 进行操作的小函数
可以复原出 vm 的数据结构

显然这是一个栈

将数据结构送到 F5 可以轻松理解 main 函数的代码

通关字串为R3V3RS1NG_1S_E4SY

load 函数比较特殊
它使用了 PTRACE_TRACEME 反调试
在有调试器的情况下会将opcode XOR 0x36 而不是 0x37

这题的 opcode 并不复杂并且检验函数并不由 VM 执行

opcode 长度为 139
共有 38 次读取单字节的操作即输入应长 38
尝试 angr 一把梭
不过很快就失败了

正文

对于这道题来说一把梭是行不通的
而作为一个懒人，自然是懒得逆向那一大坨字节码
（后来才知道官方的 wp 真就是纯手工逆的，洋洋洒洒 20 多个方程，不过出题人没说怎么解的估计是用了 z3）
于是一些调整是必须的

符号执行的一大弱点就在于分支爆炸
简单来说，需要对两点进行改动

• ptrace 的干扰：angr 会添加一个其返回值不确定的符号从而导致 opcode 不固定爆出多余分支
• run 函数中如果遇到运算错误会跳转到一个纠错分支即在栈上插入 0xAA
  但在 angr 的世界中没有“如果”：所有这样的分支都会被纳入后继状态中导致指数爆炸

因此本懒人的思路如下

• 在 ptrace 上下钩子
• 将 stdin 设置为 38 字节的位符号
• 在执行 run 函数的过程中由于 opcode 固定 不会产生除了纠错分支外的其他分支
  一旦遇到大于一个分支的状态且地址为纠错分支的地址（大概有 3 处）就消减掉它
• 除此之外一旦遇到大于一个分支就停下 代表我们到达了最终的 strcmp

钩子：

分支筛选（手动执行基本块）

可以看到在 VM 的执行过程中 angr 不断地踏入危险分支

最后得到一组合法输入

本地验证

25年3月13日于清水湾