[范例]从正在运行的Linux进程中dump出内存内容

最新推荐文章于 2024-06-04 19:03:33 发布
最新推荐文章于 2024-06-04 19:03:33 发布
阅读量3.4w 收藏 21
点赞数 5
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/72807952
版权

参考:
https://colin.guru/index.php?title=Dumping_Ram_From_Running_Linux_Processes

最近看到有个CTF题感觉挺有意思,就是从一个bin中找到一个secret key,然后用来签名session cookies用来怼一个使用go的Web服务器。通常这种类型题的flag都比较直接。可以直接用strings怼这个bin就可以了,然而这次的这个题目中的bin不同,因为有太多杂碎(noise)要过滤了。于是在此我就来展示一下如何用一些基本的Linux命令配合gdb从进程中dump出内存中的信息。
先file一下,

$ file ctf-bin
ctf-bin: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), not stripped

发现是64位的Linux可执行文件。
然后strings一下,

$ strings -n 10 ctf-bin | wc | uniq
   71085  106643 2081483

发现字符串太多,还是先不看,再研究深一点吧。
然后先运行一下程序,

$ ./ctf-bin

然后再另一个终端找到这个进程的PID

$ ps -elf | grep ctf-bin
4 S root       6686   5777  0  80   0 -  8403 -      17:02 pts/0    00:00:00 ./ctf-bin
0 S root       6701   6694  0  80   0 -  3179 -      17:02 pts/2    00:00:00 grep ctf-bin

然后cat一下它的内存(太长不看TL;DR)

$ cat /proc/6686/maps
00400000-007bd000 r-xp 00000000 08:01 1727726                            /root/ctf/q3ctf/ctf-bin
007bd000-00bb9000 r--p 003bd000 08:01 1727726                            /root/ctf/q3ctf/ctf-bin
00bb9000-00bdb000 rw-p 007b9000 08:01 1727726                            /root/ctf/q3ctf/ctf-bin
00bdb000-00bff000 rw-p 00000000 00:00 0 
016b2000-016d3000 rw-p 00000000 00:00 0                                  [heap]
c000000000-c000001000 rw-p 00000000 00:00 0 
c81fff0000-c820200000 rw-p 00000000 00:00 0 
...

似乎太多了有点可怕,但是不用害怕。
然后启动gdb,将改进程attach到gdb上。

$ gdb attach 6686

然后就是gdb命令

(gdb) dump memory /root/memory.dump 0xc81fff0000 0xc820200000

解释一下语法:
- "dump memory"是命令
- "/root/memory.dump"是我们想保存dump出的内容的路径。
- 两个hex是内存地址区间,这跟/proc/6686/maps的格式有些不一样。这是以0x开头的而且没有连字符。

然后就是用strings命令找出刚才dump出的文件的字符串,我喜欢最少10个长度的字符串(-n 10)来过滤掉一些无用的信息(noise)。
结果如下:

$ strings -n 10 /root/memory.dump
XDG_VTNR=2
XDG_SESSION_ID=1SHELL=/bin/bash
VTE_VERSION=4201USER=rootSHLVL=1USERNAME=root
LANG=en_US.UTF-8XDG_SEAT=seat0
HOME=/root
LOGNAME=root
...
Thu Feb 4 21:00:57 -0800 2010
aBCdEfJ2cPhLzQ2l111oZMHuADgJQVlkA
Wed Sep 28 17:02:15 EDT 2016
Wed Sep 28 17:02:15 EDT 2016
 !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~
 !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~
Starting scrum-cookies-server on port 9000.
Starting scrum-cookies-server on port 9000.
Wed Sep 28 17:02:15 EDT 2016 - INFO - main.go:110 - Starting scrum-cookies-server on port 9000.

可以看到好像有个hash值,为了不泄露CTF题的答案,我已经把hash值改了。

总结

好了,你已经找到运行的进程的PID,dump出了那个进程的内存内容,然后用gdb,strings命令找出了有用的数据。

以上翻译自:
https://colin.guru/index.php?title=Dumping_Ram_From_Running_Linux_Processes

Let’s get your hands dirty

Down to business

于是我也想试一下啊,然而我想找一个执行命令之后不退出的进程还蛮难的,最终我想到了apache,然而必须要有客户端与apache建立TCP长连接,如果是那种5xx的错误,比如这个,
就会发现TCP连接建立之后马上又断开了。

cqq@snort-ids:/proc$ tcp|grep "172.18.xx.xx"
sshd     6502     root    3u  IPv4 138454      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)
sshd     6524      cqq    3u  IPv4 138454      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)
apache2 13660 www-data   14u  IPv6 179548      0t0  TCP 172.18.yy.yy:80->172.18.xx.xx:53496 (ESTABLISHED)
sshd    18442     root    3u  IPv4 180814      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)
sshd    18454      cqq    3u  IPv4 180814      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)
cqq@snort-ids:/proc$ tcp|grep "172.18.xx.xx"
sshd     6502     root    3u  IPv4 138454      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)
sshd     6524      cqq    3u  IPv4 138454      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)
sshd    18442     root    3u  IPv4 180814      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)
sshd    18454      cqq    3u  IPv4 180814      0t0  TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)

于是只能弄一个TCP长连接吧。返回200的那种应该可以。
结果发现还是不行。
于是通过htop漫无目的地找吧,于是还是找apache的主进程吧。
通过htop发信apache的主进程的PID为6900,
于是

cqq@snort-ids:/proc$ sudo gdb attach 6900

(注意:要以root的身份启动,否则可能没有权限。)
然后gdb就开始调试6900进程了,一顿输出啊,几秒之后到达gdb的命令行。
然后dump出heap中的内容。

(gdb) dump memory /root/memory.dump 0x557b9000 0x557fb000
(gdb) dump memory /root/memory2.dump 0x557fb000 0x559eb000

然后在/root目录找到了那两个dump出来的文件,

-rw-r--r--  1 root root 2.0M May 29 20:55 memory2.dump
-rw-r--r--  1 root root 264K May 29 20:54 memory.dump

从任意一个dump中找出10个字符以上的字符串吧。

root@snort-ids:~# strings -n 10 memory.dump
log_config
/usr/lib/apache2/modules/mod_authn_file.so
/usr/lib/apache2/modules/mod_authz_core.0
{U/lib/apache2/modules/mod_authz_host.`
}U/lib/apache2/modules
mod_authz_host.so
oid_section
alg_section
SRVName otherName form
id-on-dnsSRV
Main thread
DEBUG_BACKTRACE_IGNORE_ARGS
PHP_CONFIG_FILE_PATH
E_RECOVERABLE_ERROR

Done :)

caiqiiqi
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浅析Linux下利用coredump技术追查进程崩溃原因
09-14
当一个程序在Linux环境下因为某种错误(如除零错误、非法指令等)导致崩溃时,如果系统设置允许coredump,那么系统会将崩溃时刻进程内存快照保存到一个文件,即coredump文件。默认情况下,coredump文件会被命名...
dump分析方法
weixin_43431593的博客
02-06 6994
在计算机领域,术语“dump”通常用来指代将某种数据以某种格式进行转储或导的过程。内存转储(Memory Dump):在计算机系统崩溃或发生故障时,操作系统可能会将系统的内存内容转储到磁盘上,以便后续分析。这样的转储文件通常被称为“内存转储”或“核心转储”,它包含了在系统崩溃时内存的数据和状态信息。数据转储(Data Dump):在软件开发或调试过程,程序员可能会将某些数据以某种格式导到文件,以便进行分析或调试。
IDA Pro内存dump脚本
纸房子
10-28 6278
在IDA利用脚本命令Dump内存内容
Linux进程崩溃信息内存快照
最新发布
CV大法专区
06-04 370
提示:在linux,用于分析进程崩溃的核心转储(core dump)核心转储(Core Dump),在计算机术语,是指当一个正在运行的程序因某种原因异常终止时(例如遇到无法处理的错误或接收到了特定的信号),操作系统会将该程序在内存的状态保存到一个文件,这个文件就是核心转储文件(通常叫做core文件)。核心转储包含程序崩溃时刻的内存映像、寄存器状态、堆栈跟踪等信息,是调试程序崩溃问题的重要工具。
pmap gdb 分析堆外内存泄露情况
qq_19550657的博客
11-24 2835
内存分析
在 gdb 将某段内存 dump 保存到文件
热门推荐
张同光 (Tongguang Zhang):Hello everyone !
02-01 1万+
http://it.taocms.org/08/4272.htm 我们会有这种需求,在 gdb 将某段内存 dump 保存到文件,比如一段无法在 gdb 直接访问的二进制数据(一段私有格式的网络包什么的)。其实在 gdb 里这个命令就叫dump,这里仅给一种简单的用法,其他的可以在gdb里 help。 dump binary memory file start_addr en
memory dump and Memory Leak
qinzheng_chen的博客
11-04 1376
Memory Leak 定义 内存泄漏(Memory Leak)是指程序已动态分配的堆内存由于某种原因程序未释放或无法释放,造成系统内存的浪费 ,导致程序运行速度减慢甚至系统崩溃等严重后果。 Memory Leak 特性 内存泄漏缺陷具有隐蔽性、积累性 的特征,比其他内存非法访问错误更难检测。因为内存泄漏的产生原因是内存块未被释放,属于遗漏型缺陷而不是过错型缺陷 。此外,内存泄漏通常不会直接产生可观察的错误症状,而是逐渐积累,降低系统整体性能,极端的情况下可能使系统崩溃。 静态变量 静态存储变量是指在程序
Linux_使用GDB调试程序记录
qq_44681788的博客
05-28 531
Linux_使用GDB调试程序记录
Linux使用gdb dump内存
谢公子的博客
07-19 1万+
在应急响应,我们往往会有dump某一块内存下来进行分析的必要。今天要讲的是利用gdb命令dumpsshd进程内存。 按照 Linux 系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。 在真实的使用场景,主要有两种使用方式: 一种是dump某一个进程的地址空间来供用户在进程挂掉之后debug分析,也就是通常所说...
Memory Dump利用实例
weixin_34356138的博客
03-08 3947
三好学生 · 2015/09/11 11:040x00 前言众所周知,procdump可以获得进程内存dump文件 最常见的用法如下:1、使用procdump抓取lsass进程 2、获得LSASS进程内存dump文件 3、用mimikatz解析dump文件 4、获取主机明文密码 复制代码那么,我们是否可以大胆设想一下,能否使用procdump抓取其他进程内存文件,进而获得内存的敏感信息呢?0x...
dump内存文件的方法
qqqq0199181的博客
08-28 6617
在jvm启动的参数,新增-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/admin/logs/java.hprof jvm参数。这样在发生jvm 内存时,就会直接dumpjava.hprof 文件了。 直接导jvm内存信息。 jmap -dump:format=b,file=/home/admin/logs/heap...
Linuxhexdump命令用法
01-09
hexdump命令一般用来查看”二进制”文件的十六进制编码,从手册上查看,其查看的内容还要很多,诸如:ascii, decimal, hexadecimal, octal 参数: hexdump [-bcCdovx] [-e format_string] [-f format_file] [-n ...
dump_tlb.rar_Linux Debugging_dump
09-24
通过分析`dump_tlb.c`源码,我们可以更好地理解如何在Linux内核访问和处理TLB信息,这对于诊断和修复与内存管理和性能有关的问题至关重要。学习和理解这些概念对于任何从事Linux内核开发或系统级编程的人来说都是...
linux进程内存映像,实战演练必修课|进程内存Dump内存镜像Dump常用工具
weixin_32570803的博客
04-29 1476
原标题:实战演练必修课|进程内存Dump内存镜像Dump常用工具「睿大学」是睿天下建设的网络攻防学习、交流与分享平台。聚焦「实战对抗」,基于睿天下多年一线攻防实战经验,分享行业知识及优秀实践,帮助合作伙伴及用户等提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等攻防能力。这次,我们走进「睿大学」系列课程之“内存取证第一步——进程内存Dump内存镜像Dump”。#内存转储#...
Windows内存dump
钞sir的博客
04-30 1万+
天地之间,物各有主…
GDB dump mem example和命令
weixin_30314631的博客
06-21 576
使用方法: You can use the commandsdump,append, andrestoreto copy data between target memory and a file. Thedumpandappendcommands write data to a file, and therestorecommand reads data from a fi...
gdb dump binary memory to file
yasi_xi的专栏
01-17 1万+
参考:http://stackoverflow.com/questions/13568215/how-can-i-dump-the-output-of-the-x-command-in-gdb-to-a-file 目的: 在gdb调试过程(甚至是在调试coredump时),将程序内存内容dump到指定文件。 gdb命令: (gdb) dump binary memo
GDB调试常用命令
摔不死的笨鸟的博客
08-18 539
Linux GDB调试
gdb 常用命令
fish的专栏
04-20 8320
run/r 运行 运行带参数的可执行文件:r 后面接参数,例如: $ gdb executablefile (gdb) r arg1 arg2 arg3 continue/c 继续运行 next/n 单步运行 step/s 如果有函数则进入函数执行 finish 跳当前的函数 jump/j 跳转到指定行/地址后继续执行,因此如果在跳转的目标行上如果没有设置断点,会继续往下执行 ...
使用Frida如何检测App进程运行时,可使用frida-dump工具dump内存
06-09
要使用Frida来检测App进程运行时,可使用frida-dump工具dump内存,可以按照以下步骤进行操作: 1. 首先,你需要下载并安装Frida工具,并打开它。 2. 然后,你需要在Android设备上安装Frida-Server,并启动Frida-Server。可以使用以下命令来启动Frida-Server: ``` frida-server -D ``` 3. 接着,你需要使用Frida来注入一个Javascript脚本到App进程。可以使用以下命令来注入脚本: ``` frida -U -f com.example.app -l script.js --no-pause ``` 其,com.example.app是要注入的App包名,script.js是要注入的Javascript脚本。 4. 在Javascript脚本,你可以使用Frida提供的API来检测App进程是否可被frida-dump工具dump内存。例如,你可以使用以下代码来检测是否有进程调用了frida-dump工具: ``` Interceptor.attach(Module.findExportByName("libc.so", "open"), { onEnter: function(args) { var path = Memory.readUtf8String(args[0]); if (path.indexOf("frida-dump") != -1) { console.log("frida-dump detected!"); } } }); ``` 这段代码会在打开文件时被执行,并检测文件名是否包含“frida-dump”字符串。如果包含,则会输提示信息。 需要注意的是,Frida可以被用于攻击,因为它可以用于修改应用程序的行为。因此,在开发过程,开发人员应该采取一些防范措施,例如使用内存加密技术、禁用日志输等,来保护敏感数据。另外,定期进行安全评估和测试也是必要的,以确保App不存在安全漏洞。 总之,使用Frida来检测App进程运行时,可使用frida-dump工具dump内存是一种有效的方法。开发人员可以采取多种防范措施,来保护App的内存数据安全。同时,定期进行安全评估和测试也是必要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值