r2的学习

入门指南：https://www.megabeets.net/a-journey-into-radare-2-part-2/

可以黄色输出了一个地址 (0x08048370)，这就是它自动识别的程序入口点 或者我们也可以使用ie命令手动打印出入口点

输入aaa或者aa进行细致分析

分析完成之后， r2会将所有有用的信息和特定的名字绑定在一起，比如区段、函数、符号、字符串，这些都被称作 ‘flags’, flags 被整合进 <flag spaces>，一个 flag 是所有类似特征的集合

接下来我们看看所有的flag

我们打印出imports下面的信息

为了获取更多的信息，我们可以再列出数据段里的字符串

出现了关键字，一个是success，一个是我们之前运行时的wrong….

那我们接下来就跟着success走，看看哪儿进行了调用

输入命令axt @@ str.*

‘axt’ 命令用来在 data/code段里找寻某个地址相关的引用（更多的操作，请看 ‘ax?’）.

’@@’就像一个迭代器，用来在地址空间里不断地匹配后面一系列相关的命令（更多操作，请看 ‘@@?’）

‘str.*’ 是一个通配符，用来标记所有以 ‘str.’开头的信息，不光会列出字符串标志，同时也包括函数名，找到它们到底在哪里以及何处被调用。

接下来我们看看radare2分析出来哪些函数(afl)

看到两个引起我们注意的sym.beet和sym.rot13

接下来我们用 ‘s main’ 指令定位到main函数入口处，然后用 ‘pdf’输出反汇编代码

分析函数的执行流程，我们知道二进制程序是通过获取 beet函数的返回结果来判断是否正确

因此我们去beet函数反汇编的部分看看

因此我们定位到beet

输入pdf@sym.beet进行跳转

我们看到输入的参数被拷贝到了一个缓存空间里，这个空间的地址是 ‘ebp – local_88h’ 。 ‘local_88h’ 就是十进制的 136。由于4个字节会被用来保存 ebp 的地址，4个字节被用来保存返回地址，所以这个缓冲区得大小是 128个字节.它们加起来刚好是 136. 我们输入的参数被拷贝到缓冲区后被用来和 sym.rot13的返回结果作对比， Rot-13 是一个著名的替换密码算法，在ctf和crackme中被广泛使用，这个函数接受了9个十六进制值作为参数，但是上图中看起来r2好像没有识别出来到底是什么字符，这里我们需要用 ‘ahi s’ 来做些处理.

ahi s 是用来设置字符串特定的偏移地址（使用 ahi? 获取更多用法），@@是一个迭代器，可以用来接受后面输入的多个参数,执行完这条命令后，图形视图会自动刷新

上图不知道为啥

可以看到

0x080485a3

0x080485ad

0x080485b7

后面的字符都已经显示出来了

我们已经看到了之前无法识别的字符串’Megabeets’(根据字节序反向压栈顺序得到).

这个二进制文件将我们传入的参数来和经过 rot13 处理后的 ‘Megabeets’ 作比较

接下来我们通过rahash2求出这个字符串的校验值

至此，程序的逻辑就很清楚了：

‘Zrtnorrgf’ 就是用来和我们输入的字符串作比较，成功则返回success

我们验证一下：

接下来输入ood?进入调试模式

将Zrtnorrgf作为参数进行调试

输入dc查看结果

输出了success，我们成功破解了这个小软件，也借此掌握了radare2的基本用法

进阶用法

参考网址：http://www.hetianlab.com/expc.do?ce=a51b95f4-0375-4e3a-9820-c0f8a0305945

关于Radare2：

radare2是一个开源的逆向工程和二进制分析框架，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，同时具备超强的脚本加载能力，它可以运行在几乎所有主流的平台（GNU/Linux, .Windows *BSD, iOS, OSX, Solaris…）并且支持很多的cpu架构以及文件格式。 radare2工程是由一系列的组件构成，这些组件可以在 radare2 界面或者单独被使用–比如我们将要在接下来实验中使用到的rahash2, rabin2, ragg2三个组件，所有这些组件赋予了 radare2 强大的静态以及动态分析、十六进制编辑以及溢出漏洞挖掘的能力。

Kali已经自带radare2 常用命令：

  信息搜集:

  $ rabin2 -I ./program — 查看二进制信息

  ii [q] – 查看导出表

  ?v sym.imp.func_name — 获取过程链接表中相应函数的地址（func_name@PLT）

  ?v reloc.func_name —获取全局偏移表中函数的地址（func_name@GOT）

  ie [q] — 获取入口点地址

  内存相关：

  dmm — 列出模块 (库文件，内存中加载的二进制文件)

   dmi [addr|libname] [symname] — 列出目标库的符号标识

  搜索：

  /?— 列出搜索子命令  

  / string — 搜索内存/二进制文件的字符串

  /R [?] —搜索ROP gadgets

  /R/ — 使用正则表达式搜索ROP gadgets

  调试：

  dc — 继续执行

  dcu addr – 继续执行直到到达指定地址

  dcr — 继续执行直到到达ret (使用步过step over)

  dbt [?] —基于 dbg.btdepth 和 dbg.btalgo显示backtrace追踪函数

  doo [args] — 添加参数重新打开调试模式

  ds — 步入一条指令（step on）

  dso — 步过（Step over）

Visual Modes

  pdf @ addr — 打印出相应偏移处的函数的汇编代码

  V —视图模式,使用p/P to在不同模式间切换