首先一个ubuntu16.04版本以上的虚拟机
关闭保护的方法:
pie: -no-pie
canary: -fno-stack-protector
aslr: 查看: cat /proc/sys/kernel/randomize_va_space 2表示打开
关闭:echo 0 > /proc/sys/kernel/randomize_va_space
NX: -z execstack
gdb使用以及插件安装
gdb <file>加载程序
gdb基本命令:
命令 | 作用 | 示例 |
start | 启动程序,并且在入口处停下 | |
run | 启动并且执行程序,直到遇到断点或者程序结束 | |
continue | 继续执行 | |
x/<num><size><format> addr | 查看内存,num为数量,size为数据大小,format为格式,addr为内存地址 | x/8gx addr |
disas | 查看汇编编码 | |
searchmem<data> | 寻找内存 | Searchmem flag |
vmmap | 查找程序内存布局 | |
info b | 查看断点列表 | |
info r | 查看寄存器 | |
p | 查看一个值 | p printf |
b | 下断点 | b main |
Delete breakpoint <num> | 删除断点,num为断点下标 | |
Next | 步过,单步调试,跳过函数执行 | |
Step | 步入,单步调试,但会跟进调用函数 | |
Finish | 执行到函数返回 | |
Watch | 监视内存或者寄存器 | watch *0x8000 |
set | 改变某值 | set $rax 0 |
q | 退出gdb |
pwndbg是gdb的插件
安装
git clone https://github.com/pwndbg/pwndbg
cd pwndbg
./setup.sh
安装好之后要把gdb的插件切换为pwndbg:
vim ~/.gdbinit
source ~/peda/peda.py
pwndb不可和其他插件一起使用
基本指令
help //帮助
i //info,查看一些信息,只输入info可以看可以接什么参数,下面几个比较常用
i b //常用,info break 查看所有断点信息(编号、断点位置)
i r //常用,info registers 查看各个寄存器当前的值
i f //info function 查看所有函数名,需保留符号
show //和info类似,但是查看调试器的基本信息,如:
show args //查看参数
rdi / / 常 用 ,+寄存器名代表一个寄存器内的值,用在地址上直接相当与一个十六进制变量
backtrace //查看调用栈
q //quit 退出,常用
执行指令
s //单步步入,遇到调用跟进函数中,相当于step into,源码层面的一步
si //常用,同s,汇编层面的一步
n //单步补过,遇到电泳不跟进,相当于step over,源码层面的一步
ni //常用,同n,汇编层面的一步
c //continue,常用,继续执行到断点,没断点就一直执行下去
r //run,常用,重新开始执行
断点指令
下普通断点指令b(break):
b *(0x123456) //常用,给0x123456地址处的指令下断点
b *$ rebase(0x123456) //$rebase 在调试开PIE的程序的时候可以直接加上程序的随机地址
b fun_name //常用,给函数fun_name下断点,目标文件要保留符号才行
b file_name:fun_name
b file_name:15 //给file_name的15行下断点,要有源码才行
b 15
b +0x10 //在程序当前停住的位置下0x10的位置下断点,同样可以-0x10,就是前0x10
break fun if $rdi==5 //条件断点,rdi值为5的时候才断
删除、禁用断点:
使用info break(简写: i b)来查看断点编号
delete 5 //常用,删除5号断点,直接delete不接数字删除所有
disable 5 //常用,禁用5号断点
enable 5 //启用5号断点
clear //清除下面的所有断点
内存断点指令watch:
watch 0x123456 //0x123456地址的数据改变的时候会断
watch a //变量a改变的时候会断
info watchpoints //查看watch断点信息
捕获断点catch:
catch syscall //syscall系统调用的时候断住
tcatch syscall //syscall系统调用的时候断住,只断一次
info break //catch的断点可以通过i b查看
除syscall外还可以使用的有:
1)throw: 抛出异常
2)catch: 捕获异常
3)exec: exec被调用
4)fork: fork被调用
5)vfork: vfork被调用
6)load: 加载动态库
7)load libname: 加载名为libname的动态库
8)unload: 卸载动态库
9)unload libname: 卸载名为libname的动态库
10)syscall [args]: 调用系统调用,args可以指定系统调用号,或者系统名称
打印指令
查看内存指令x:
x /nuf 0x123456 //常用,x指令的格式是:x空格/nfu,nfu代表三个参数
n代表显示几个单元(而不是显示几个字节,后面的u表示一个单元多少个字节),放在’/'后面
u代表一个单元几个字节,b(一个字节),h(俩字节),w(四字节),g(八字节)
f代表显示数据的格式,f和u的顺序可以互换,也可以只有一个或者不带n,用的时候很灵活
x 按十六进制格式显示变量。
d 按十进制格式显示变量。
u 按十六进制格式显示无符号整型。
o 按八进制格式显示变量。
t 按二进制格式显示变量。
a 按十六进制格式显示变量。
c 按字符格式显示变量。
f 按浮点数格式显示变量。
s 按字符串显示。
b 按字符显示。
i 显示汇编指令。
x /10gx 0x123456 //常用,从0x123456开始每个单元八个字节,十六进制显示是个单元的数据
x /10xd $rdi //从rdi指向的地址向后打印10个单元,每个单元4字节的十进制数
x /10i 0x123456 //常用,从0x123456处向后显示十条汇编指令
打印指令p(print):
p fun_name //打印fun_name的地址,需要保留符号
p 0x10-0x08 //计算0x10-0x08的结果
p &a //查看变量a的地址
p *(0x123456) //查看0x123456地址的值,注意和x指令的区别,x指令查看地址的值不用星号
p $rdi //显示rdi寄存器的值,注意和x的区别,这只是显示rdi的值,而不是rdi指向的值
p *($rdi) //显示rdi指向的值
打印汇编指令disass(disassemble):
disass 0x123456 //显示0x123456前后的汇编指令
x /10i //x也可以显示汇编指令
打印源代码指令list:
list //查看当前附近10行代码,要有源码,list指令pwn题中几乎不用,但为了完整性还是简单举几个例子
list 38 //查看38行附近10行代码
list 1,10 //查看1-10行
list main //查看main函数开始10行
修改和查找指令
修改数据指令set:
set $rdi=0x10 //把rdi寄存器的值变为0x10
set *(0x123456)=0x10 //0x123456地址的值变为0x10,注意带星号
set args “abc” “def” “gh“//给参数123赋值
set args “python -c ‘print “1234\x7f\xde”’” //使用python给参数赋值不可见字符
查找数据:
search rdi //从当前位置向后查包含rdi的指令,返回若干
search -h //查看search帮助,我也不太长用这个指令
find “hello” //查找hello字符串,pwndbg独有
ropgadget //查找ropgadget,pwndbg独有,没啥用,可以用其他工具
堆操作指令(pwndbg插件独有)
arena //显示arena的详细信息
arenas //显示所有arena的基本信息
arenainfo //好看的显示所有arena的信息
bins //常用,查看所有种类的堆块的链表情况
fastbins //单独查看fastbins的链表情况
largebins //同上,单独查看largebins的链表情况
smallbins //同上,单独查看smallbins的链表情况
unsortedbin //同上,单独查看unsortedbin链表情况
tcachebins //同上,单独查看tcachebins的链表情况
tcache //查看tcache详细信息
heap //数据结构的形式显示所有堆块,会显示一大堆
heapbase //查看堆起始地址
heapinfo、heapinfoall //显示堆得信息,和bins的挺像的,没bins好用
parseheap //显示堆结构,很好用
tracemalloc //好用,会跟提示所有操作堆的地方
其他pwndbg插件独有指令
cyclc 50 //生成50个用来溢出的字符,如:aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaama
$reabse //开启PIE的情况的地址偏移
b *$reabse(0x123456) //断住PIE状态下的二进制文件中0x123456的地方
codebase //打印PIE偏移,与rebase不同,这是打印,rebase是使用
stack //查看栈
retaddr //打印包含返回地址的栈地址
canary //直接看canary的值
plt //查看plt表
got //查看got表
hexdump //想IDA那样显示数据,带字符串
ida
IDA分析可执行文件
IDA会对可识别的文件进行代码反编译,反编译过程依据文件大小而定。IDA软件会利用回归方式递进分析可执行文件反汇编代码。判断IDA分析完毕的三种方法分别为:
1)图中IDA的“Output Window”窗口输出“The initial autoanalysis has been finished”日志时,则说明IDA已分析完毕。
2)如图所示进度条处黄色向上箭头消失时,则表明IDA分析完毕。
3)图中IDA界面左下角AU处于”idle”状态时,也表明IDA分析完毕。
四、常用快捷键
空格键:反汇编窗口切换文本跟图形
Esc:在反汇编窗口中使用为后退到上个操作的地址处
Shift +F5:打开签名窗口
shift+F12:自动分析出参考字符串
ALT+T:搜索字符串(文本搜索)
ALT+L:标记(Lable)
ALT+M:设置标签(mark)
ALT+G:转换局部变量为结构体
ALT+Enter:跳转到新的窗口
Alt+B:快捷键用于搜索十六进制字节序列,通常在分析过程中可以用来搜索opcode
CTRL+M:列举出当前已经添加的标签
CTRL+S列举出二进制程序的段的开始地址、结束地址、权限等信息
F9:动态调试程序(其实IDA主要用作静态分析用的)
F5:将一个函数逆向出来(生成c伪代码)
G:跳转到指定地址
A:将选择的信息转换成ASCII(转换成可读性跟强的字符串)
X(ctrl+X):交叉引用,类似于OD中的栈回溯操作
N:对符号重命名
:&;(冒号&分号):光标所在位置添加常规注释和可重复注释
P:创建函数
T:解析结构体偏移
M:转换为枚举类型常量
Y:设置变量类型
H:转换16进制
C:光标所在地址处的内容解析成代码
D:光标所在地址处的内容解析成数据
A:光标所在地址处的内容解析成ascll码字符串
U:光标所在地址处的内容解析成未定义内容。
pwntools
from pwn import *
myelf = ELF('myelfname')
libc = ELF('')
#conn = process('') //本地调试
conn = remote('')
conn.recv() //接收多少字节
conn.recvuntil('') //直到接收到
recvall()
recvline() //直到接收到'\n'
conn.send()
conn.sendline()
conn.sendlineafter()
嵌入gdb
gdb.attach()
字符转换
p64(),p32(),p16(),p8()
解包
u64(string) u32,u16,u8
b'aaaa'+p64(0xa)
conn.interactive() //和shell交互
查看内存
def p():
gdb.attach(io)
raw input() //控制断点,不让程序往下走