linux进程内存泄露,[范例]从正在运行的Linux进程中dump出内存内容

最新推荐文章于 2024-07-23 18:00:27 发布
最新推荐文章于 2024-07-23 18:00:27 发布
阅读量568 收藏 1
点赞数
文章标签: linux进程内存泄露

最近看到有个CTF题感觉挺有意思,就是从一个bin中找到一个secret key,然后用来签名session cookies用来怼一个使用go的Web服务器。通常这种类型题的flag都比较直接。可以直接用strings怼这个bin就可以了,然而这次的这个题目中的bin不同,因为有太多杂碎(noise)要过滤了。于是在此我就来展示一下如何用一些基本的Linux命令配合gdb从进程中dump出内存中的信息。

先file一下,

$ file ctf-bin

ctf-bin: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), not stripped

发现是64位的Linux可执行文件。

然后strings一下,

$ strings -n 10 ctf-bin | wc | uniq

71085 106643 2081483

发现字符串太多,还是先不看,再研究深一点吧。

然后先运行一下程序,

$./ctf-bin

然后再另一个终端找到这个进程的PID

$ ps -elf | grep ctf-bin

4 S root 6686 5777 0 80 0 - 8403 - 17:02 pts/0 00:00:00 ./ctf-bin

0 S root 6701 6694 0 80 0 - 3179 - 17:02 pts/2 00:00:00 grep ctf-bin

然后cat一下它的内存(太长不看TL;DR)

$ cat /proc/6686/maps

00400000-007bd000 r-xp 00000000 08:01 1727726 /root/ctf/q3ctf/ctf-bin

007bd000-00bb9000 r--p 003bd000 08:01 1727726 /root/ctf/q3ctf/ctf-bin

00bb9000-00bdb000 rw-p 007b9000 08:01 1727726 /root/ctf/q3ctf/ctf-bin

00bdb000-00bff000 rw-p 00000000 00:00 0

016b2000-016d3000 rw-p 00000000 00:00 0 [heap]

c000000000-c000001000 rw-p 00000000 00:00 0

c81fff0000-c820200000 rw-p 00000000 00:00 0

...

似乎太多了有点可怕,但是不用害怕。

然后启动gdb,将改进程attach到gdb上。

$gdb attach 6686

然后就是gdb命令

(gdb) dump memory /root/memory.dump 0xc81fff0000 0xc820200000

解释一下语法:

- "dump memory"是命令

- "/root/memory.dump"是我们想保存dump出的内容的路径。

- 两个hex是内存地址区间,这跟/proc/6686/maps的格式有些不一样。这是以0x开头的而且没有连字符。

然后就是用strings命令找出刚才dump出的文件的字符串,我喜欢最少10个长度的字符串(-n 10)来过滤掉一些无用的信息(noise)。

结果如下:

$ strings -n 10 /root/memory.dump

XDG_VTNR=2

XDG_SESSION_ID=1SHELL=/bin/bash

VTE_VERSION=4201USER=rootSHLVL=1USERNAME=root

LANG=en_US.UTF-8XDG_SEAT=seat0

HOME=/root

LOGNAME=root

...

Thu Feb 4 21:00:57 -0800 2010

aBCdEfJ2cPhLzQ2l111oZMHuADgJQVlkA

Wed Sep 28 17:02:15 EDT 2016

Wed Sep 28 17:02:15 EDT 2016

!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~ !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

Starting scrum-cookies-server on port 9000.

Starting scrum-cookies-server on port 9000.

Wed Sep 28 17:02:15 EDT 2016 - INFO - main.go:110 - Starting scrum-cookies-server on port 9000.

可以看到好像有个hash值,为了不泄露CTF题的答案,我已经把hash值改了。

总结

好了,你已经找到运行的进程的PID,dump出了那个进程的内存内容,然后用gdb,strings命令找出了有用的数据。

Let’s get your hands dirty

Down to business

于是我也想试一下啊,然而我想找一个执行命令之后不退出的进程还蛮难的,最终我想到了apache,然而必须要有客户端与apache建立TCP长连接,如果是那种5xx的错误,比如这个,

就会发现TCP连接建立之后马上又断开了。

cqq@snort-ids:/proc$ tcp|grep "172.18.xx.xx"

sshd 6502 root 3u IPv4 138454 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)

sshd 6524 cqq 3u IPv4 138454 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)

apache2 13660 www-data 14u IPv6 179548 0t0 TCP 172.18.yy.yy:80->172.18.xx.xx:53496 (ESTABLISHED)

sshd 18442 root 3u IPv4 180814 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)

sshd 18454 cqq 3u IPv4 180814 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)

cqq@snort-ids:/proc$ tcp|grep "172.18.xx.xx"

sshd 6502 root 3u IPv4 138454 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)

sshd 6524 cqq 3u IPv4 138454 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:64724 (ESTABLISHED)

sshd 18442 root 3u IPv4 180814 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)

sshd 18454 cqq 3u IPv4 180814 0t0 TCP 172.18.yy.yy:22->172.18.xx.xx:52149 (ESTABLISHED)

于是只能弄一个TCP长连接吧。返回200的那种应该可以。

结果发现还是不行。

于是通过htop漫无目的地找吧,于是还是找apache的主进程吧。

通过htop发信apache的主进程的PID为6900,

于是

cqq@snort-ids:/proc$sudo gdb attach 6900

(注意:要以root的身份启动,否则可能没有权限。)

然后gdb就开始调试6900进程了,一顿输出啊,几秒之后到达gdb的命令行。

然后dump出heap中的内容。

(gdb) dump memory /root/memory.dump 0x557b9000 0x557fb000

(gdb) dump memory /root/memory2.dump 0x557fb000 0x559eb000

然后在/root目录找到了那两个dump出来的文件,

-rw-r--r-- 1 root root 2.0M May 29 20:55 memory2.dump

-rw-r--r-- 1 root root 264K May 29 20:54 memory.dump

从任意一个dump中找出10个字符以上的字符串吧。

root@snort-ids:~# strings -n 10 memory.dump

log_config

/usr/lib/apache2/modules/mod_authn_file.so

/usr/lib/apache2/modules/mod_authz_core.0

{U/lib/apache2/modules/mod_authz_host.`

}U/lib/apache2/modules

mod_authz_host.so

oid_section

alg_section

SRVName otherName form

id-on-dnsSRV

Main thread

DEBUG_BACKTRACE_IGNORE_ARGS

PHP_CONFIG_FILE_PATH

E_RECOVERABLE_ERROR

Done :)

黑科技玩机
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux使用gdb dump内存
谢公子的博客
07-19 1万+
在应急响应,我们往往会有dump某一块内存下来进行分析的必要。今天要讲的是利用gdb命令dumpsshd进程内存。 按照 Linux 系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。 在真实的使用场景,主要有两种使用方式: 一种是dump某一个进程的地址空间来供用户在进程挂掉之后debug分析,也就是通常所说...
46.第十一章 进程和计划任务 -- 进程内存管理(一)
Raymond的博客
01-18 194
第十一章 进程和计划任务 内容概述 进程相关概念 进程工具 系统性能相关工具 计划任务 1.进程内存管理 内核功用:进程管理、内存管理、文件系统、网络功能、驱动程序、安全功能等 1.1 什么是进程 Process: 运行的程序的一个副本,是被载入内存的一个指令集合,是资源分配的单位 进程ID(Process ID,PID)号码被用来标记各个进程 UID、GID、和SELinux语境决定对文件系统的存取和访问权限 通常从执行进程的用户来继承 存在生命周期 进程创建: init:第一个进程,从
linux 2.6源代码情景分析笔记之内存5
superkiss2的专栏
12-23 1508
内存启动最开始时,bios的起主导作用,内核通过它来了解物理内存的情况。同时调用bios过程建立一组物理地址范围和其对应的内存类型。通过函数machine_specific_memory_setup()函数来建立物理地址映射。此表可以获取,是内核在bios列表的基础上构建的;否则内核按照保守的缺省设置构建这张表:从0x9f(lowmemsize())到0x100(high_memory)号的
Linux环境抓取程序异常退(崩溃)的堆栈信息(core dump
最新发布
weixin_45844208的博客
07-23 2146
本文介绍了配置Linux环境程序进程发生异常(崩溃)退时生成core文件,使用gdb命令对程序异常退生成的core文件进行堆栈信息的调试,使用gdb命令对程序或者程序PID值进行崩溃堆栈信息调试。
Dump Linux Memory
zhenyongyuan123的专栏
02-13 3684
/* * Accessing a physical memory region using mmap() on /dev/mem * Compile with 'gcc -Wall -O peeker.c -o peeker' (-O *is* mandatory) * */ #include #include #include #include #inc
linux系统内存dump机制介绍(一)--kdump
网易数帆社区博客
07-16 1万+
本文来自 网易云社区 。 kdump的原理介绍 按照linux系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。 在真实的使用场景,主要有两种使用方式: 一种是dump某一个进程的地址空间来供用户在进程挂掉之后debug分析,也就是通常所说的coredump,这个在下一篇描述; 另一种就是dump整个系统的内存空间...
Linux内存使用情况以及内存泄露分析之工具与方法
weixin_34026276的博客
03-24 239
Linux C/C++ Memory Leak Detection Tool》 1. 内存使用情况分析 1.1 系统总内存分析 通过cat /proc/meminfo,可用的物理内存=MemFree+Buffers+Cached。 MemTotal:        5933132 kBMemFree:         4485932 kBMemAvailable:    4822944 ...
linux dump 某个进程内存,pmdump是一个简单的工具,可在Linux或Android上提供进程内存获取...
weixin_30696229的博客
05-10 629
pmdumppmdump is a simple tool that provides process memory acquisition on Linux or Android. Pmdump dumps process memory with its header information from /proc//maps file. Data is dumped either to the ...
linux通过meminfo 与 slab 定位内存泄漏
olivesun88的博客
03-29 1021
linux通过meminfo 与 slab 定位内存泄漏 前言 问题真是一个接一个,做开发就是解决一个又一个问题吗? 像死机、内存泄漏这些问题很多时候是没有框架、设计或有了框架和设计但是团队没有统一遵循标准按着自己性子来导致的,统一的框架和设计也许会损失一定的灵活性,但是他会让你在编码的时候遵从一定的范式,且通过规范格式可以做到良好的自检查,例如将一个代码的实现分别放在A、B、C三个地方,A、B、C、分别干啥,接口是啥,A、B、C的范例等都在框架和设计定义好了,每个编码人员按这个进行具体的开发编码工
C++软件调试与异常排查从入门到精通系列文章汇总
热门推荐
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
Linux操作系统加固
悦分享
07-23 1485
如何尽可能地加强Linux的安全性和隐私性?以下列的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
Linux版本的ProcDump Sysinternals工具-C/C++开发
05-26
ProcDump ProcDumpLinuxSysinternals工具套件经典ProcDump工具的重新构想。 ProcDumpLinux开发人员提供了一种方便的方法来基于p创建ProcDump ProcDump ProcDumpLinux对Sysinternals Windows工具套件经典ProcDump工具的重新构想。 ProcDumpLinux开发人员提供了一种方便的方法,可以基于性能触发器为其应用程序创建应用程序的核心转储。 安装和使用要求最低操作系统:Red Hat Enterprise Linux / CentOS 7 Fedora 29 Ubuntu 16.04 LTS gdb> = 7.6.1 zlib(仅适用于构建时)安装ProcDump查看我们的安装说明以了解向insta分发的特定步骤
linux常用命令和shell编程
生活在别处
10-20 5666
Red Hat Linux 9 编程开发与网络管理 冉林仓 电子工业版社 2006 (将linux系统的各种情况和dos系统做了对比)UNIX基础教程 龚汉明等 清华大学版社 2007Linux应用开发技术详解 范永开等 人民邮电版社 2006Linux Shell 脚本攻略 Sarath Lakshman 人民邮电版社 2011。
linux 进程内存 dump,linux core dump
weixin_31600859的博客
05-07 1323
core dump:(内存快照)在linux当程序发生异常止或者崩溃时,操作系统会将程序当时的内存状况记录下来,存放到一个文件,这行为就叫core dump.core dump不仅保存了程序当时的内存状况,还有关键的程序运行的状态 ,寄存器信息(包括程序指针、栈指针等)、内存管理信息、其他处理器和操作系统状态和信息。core dump产生的时机:Linux 信号是一种异步事件处理的机制,...
linux dump进程内存,Linux系统内存dump机制介绍(一)——kdump
weixin_39818727的博客
04-29 1630
按照Linux系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。在真实的使用场景,主要有两种使用方式:kdump和coredump1.kdumpdump某一个进程的地址空间来供用户在进程挂掉之后debug分析。2.coredumpdump整个系统的内存空间,以便于系统管理员debug分析系统挂掉的原因。本文主要描述kdu...
linux dump进程内存,Linux core dump file详解
weixin_39967598的博客
04-29 1386
1. 前言: 有的程序可以通过编译, 但在运行时会现Segment fault(段错误). 这通常都是指针错误引起的. 但这不像编译错误一样会提示到文件->行, 而是没有任何信息, 使得我们的调试变得困难起来.2. gdb: 有一种办法是, 我们用gdb的step, 一步一步寻找. 这放在短小的代码是可行的, 但要让你step一个上万行的代码, 我想你会从此厌恶程序员这个名字, 而把他叫...
linux 怎么dump内存,在linux环境下使用lldb调试,以及 dump 安卓内存文件
weixin_30121389的博客
05-01 666
已知android某进程 so文件 在maps如下: 我期望是按照 映射的内存点cd140000-cd1b4000 dump文件,而不是将整个so pull下来。所以本文开始(root android手机一台+linux系统环境):一、将lldb push到手机,并执行adb push "E:\Android\sdk\lldb\3.0\android\arm64-v8a\lldb-serve...
Linux: pahole: 如何使用命令dump内核内存
mzhan017的博客
03-31 678
pahole属于dwarves。这个命令可以局部dump内存,不需要整个dump。或者实时使用crash命令。第一行是符号的地址;
64位Linux下Java进程内存分析:11GB内存占用解析
"该文档分析了一个64位Linux系统下的Java进程,发现其内存占用异常高,已分配内存高达11GB,虚拟地址空间更是达到17GB。通过使用jmap工具,展示了JVM的配置信息,包括最小堆空闲比例、最大堆空闲比例、最大堆大小、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值