radare入门

59 阅读 0 评论 39 点赞

我是靠谱客的博主繁荣小懒猪，最近开发中收集的这篇文章主要介绍radare入门，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

radare2系列共有3个。这是第一个，第二个是进阶用法通过它写exp，第三个实验是通过它分析rom。（国内安全客翻译的文章仅是原博客的第一篇）。参考链接已经在文末给出。
关于Radare2：

radare2是一个开源的逆向工程和二进制分析框架，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，同时具备超强的脚本加载能力，它可以运行在几乎所有主流的平台（GNU/Linux, .Windows *BSD, iOS, OSX, Solaris…）并且支持很多的cpu架构以及文件格式。 radare2工程是由一系列的组件构成，这些组件可以在 radare2 界面或者单独被使用–比如我们将要在接下来实验中使用到的rahash2, rabin2, ragg2三个组件，所有这些组件赋予了 radare2 强大的静态以及动态分析、十六进制编辑以及溢出漏洞挖掘的能力。

Kali已经自带radare2

在这里插入图片描述
2.熟悉常用命令：
我们可以输入-h查看帮助

I开头的命令主要用来获取各种信息
在这里插入图片描述
A系列的命令用于分析文件

介绍下r2 框架里最强的一个工具：rabin2.
rabin2 可以获取包括ELF, PE, Mach-O, Java CLASS文件的区段、头信息、导入导出表、字符串相关、入口点等等，并且支持几种格式的输出文件.
我们可以使用它来获取二进制文件的基本信息
输入man rabin2查看更多用法

在这里插入图片描述

对于反汇编，我们可以输入vv进入图形化界面
在这里插入图片描述

输入q则可以退出图形化界面，回到shell
在这里插入图片描述
以上是我们接触新工具时，需要通过常见命令如man,-h等获得帮组信息的实例。
更多的用法希望大家可以自行探索。

首先rabin2加上-I 参数来让 rabin2 打印出二进制文件的系统属性、语言、字节序、框架、以及使用了哪些加固技术
在这里插入图片描述
我们可以看到这是一个32位的 elf 文件，没有剥离符号表并且是动态链接的

接下来我们尝试运行它
在这里插入图片描述
可以看到，不论是否加参数都会显示wrong。

接下来我们使用radare2来进行破解
在这里插入图片描述
可以黄色输出了一个地址 (0x08048370)，这就是它自动识别的程序入口点
或者我们也可以使用ie命令手动打印出入口点

接下来输入aa或者aaa进行细致的分析

分析完成之后， r2会将所有有用的信息和特定的名字绑定在一起，比如区段、函数、符号、字符串，这些都被称作 ‘flags’, flags 被整合进，一个 flag 是所有类似特征的集合

接下来我们看看所有的flag
在这里插入图片描述

我们打印出imports下面的信息
在这里插入图片描述

为了获取更多的信息，我们可以再列出数据段里的字符串
在这里插入图片描述
出现了关键字，一个是success，一个是我们之前运行时的wrong….
那我们接下来就跟着success走，看看哪儿进行了调用

输入命令axt @@ str.*
在这里插入图片描述
‘axt’ 命令用来在 data/code段里找寻某个地址相关的引用（更多的操作，请看 ‘ax?’）.
'@@'就像一个迭代器，用来在地址空间里不断地匹配后面一系列相关的命令（更多操作，请看 ‘@@?’）
‘str.*’ 是一个通配符，用来标记所有以 'str.'开头的信息，不光会列出字符串标志，同时也包括函数名，找到它们到底在哪里以及何处被调用。

接下来我们看看radare2分析出来哪些函数
在这里插入图片描述
看到两个引起我们注意的sym.beet和sym.rot13

接下来我们用 ‘s main’ 指令定位到main函数入口处，然后用 'pdf’输出反汇编代码

在这里插入图片描述
分析函数的执行流程，我们知道二进制程序是通过获取 beet函数的返回结果来判断是否正确

因此我们去beet函数反汇编的部分看看
因此我们定位到beet
输入pdf@sym.beet进行跳转
在这里插入图片描述
自动跳转到beet函数的反汇编部分

我们看到输入的参数被拷贝到了一个缓存空间里，这个空间的地址是 ‘ebp – local_88h’ 。 ‘local_88h’ 就是十进制的 136。由于4个字节会被用来保存 ebp 的地址，4个字节被用来保存返回地址，所以这个缓冲区得大小是 128个字节.它们加起来刚好是 136. 我们输入的参数被拷贝到缓冲区后被用来和 sym.rot13的返回结果作对比， Rot-13 是一个著名的替换密码算法，在ctf和crackme中被广泛使用，这个函数接受了9个十六进制值作为参数，但是上图中看起来r2好像没有识别出来到底是什么字符，这里我们需要用 ‘ahi s’ 来做些处理.

输入
在这里插入图片描述
ahi s 是用来设置字符串特定的偏移地址（使用 ahi? 获取更多用法），@@是一个迭代器，可以用来接受后面输入的多个参数,执行完这条命令后，图形视图会自动刷新

在这里插入图片描述
可以看到
0x080485a3
0x080485ad
0x080485b7
后面的字符都已经显示出来了

我们已经看到了之前无法识别的字符串’Megabeets’(根据字节序反向压栈顺序得到).
这个二进制文件将我们传入的参数来和经过 rot13 处理后的 ‘Megabeets’ 作比较

接下来我们通过rahash2求出这个字符串的校验值
在这里插入图片描述

至此，程序的逻辑就很清楚了：
‘Zrtnorrgf’ 就是用来和我们输入的字符串作比较，成功则返回success

我们验证一下：
接下来输入ood?进入调试模式
将Zrtnorrgf作为参数进行调试
输入dc查看结果
在这里插入图片描述
输出了success，我们成功破解了这个小软件，也借此掌握了radare2的基本用法

参考资料：
Crackme网址：
https://github.com/ITAYC0HEN/A-journey-into-Radare2/blob/master/Part 1 - Simple crackme/megabeets_0x1
radare2官网：
www.radare.org
r2入门指南：
https://www.megabeets.net/a-journey-into-radare-2-part-1/