背景
最近比賽遇到了一個題目, 32位靜態鏈接去符號了. 所以用IDA分析的時候很多libc的庫函數都無法識別, 就需要在 IDA 中引入 sig 文件. 從而可以識別諸如 read, write, malloc, free 這些庫函數. 雖然網上已經有很多制作好的sig文件, 但是還是應該學會自己制作sig文件以備不時之需.
有了 sig 文件后靜態分析是沒問題了, 但是動態調試的時候因為沒有符號還是很麻煩, 比如這題我就需要查看 _IO_FILE_plus 這個結構體的內容就會很麻煩
pwndbg> p *(struct _IO_FILE_plus *) 0xf7ffdbe9
No struct type named _IO_FILE_plus.
所以我們還需要在gdb中導入libc中的符號表.
下面就是具體解決方案
一. 制作 sig 文件
需要使用 idasdk, 下載鏈接在本文底部.
我是在windows下制作的, 建議下載解壓后添加到系統路徑中:idasdk70\flair70\bin\win
1.獲取libc.a
我的系統是 ubuntu 16.04 server. 這個系統上 32位 libc.a 的位置是 /usr/libx32/libc.a, 64位的我沒找到
制作pat文件
需要用到上面找到的libc.a 以及 idasdk70\flair70\bin\win\ 下的 pelf.exe:
pelf.exe .\libc.a .\libc.pat
根生成 sig文件
需要用到上一步生成的 pat文件以及 idasdk70\flair70\bin\win\下的 sigmake.exe
sigmake.exe .\libc.pat .\libc.sig
這一步可能會報錯
.\libc.sig: modules/leaves: 1306/1575, COLLISIONS: 14
See the documentation to learn how to resolve collisions.
猜測是因為有些函數會對應好幾個符號, 為了保證函數和符號一一對應, 就需要人為干預一下.
解決方法就是修改當前目錄下的 libc.exec 文件, 具體操作文件里有提示.
修改之后再執行一遍
sigmake.exe .\libc.pat .\libc.sig
即可得到 libc.sig 文件.
導入IDA
首先將上一步得到的 sig 文件復制到 IDA安裝目錄的sig/pc下.
然后打開IDA , shift+F5,右鍵添加新的簽名文件, 選擇 libc.sig即可
二. gdb 導入符號表
方法很簡單
gdb -e ./pwn -s ./libc.so
pwn 是去符號靜態鏈接的文件.
libc.so 是本地帶符號的動態鏈接庫.
libc.so和pwn所使用的libc的架構得一致.
如果想在pwntools里面使用的話可以這樣
io = process("./pwn")
gdb.attach(io, "add-symbol-file ./libc.so 0")
實例(湊字數):
? test gcc ./test.c -s --static -o pwn
? test gdb ./pwn
pwndbg> r
Starting program: /mnt/hgfs/ctf/ctf_games/test/pwn
^C
Program received signal SIGINT, Interrupt.
pwndbg> p *(struct _IO_FILE_plus *) $rsp
No struct type named _IO_FILE_plus.
pwndbg> add-symbol-file ./libc_2.23.so 0
Reading symbols from ./libc_2.23.so...done.
pwndbg> p *(struct _IO_FILE_plus *) $rsp
$1 = {
file = {
_flags = 4196856,
_IO_read_ptr = 0x10e1000004d2 ,
_IO_read_end = 0x524c03e851558b00 ,
_IO_read_base = 0x6ca018 "ЮC",
_IO_write_base = 0x400c66 "\211\307\350", ,
_IO_write_ptr = 0x0,
_IO_write_end = 0x100000000 ,
_IO_buf_base = 0x7fffffffe3a8 "#\346\377\377\377\177",
_IO_buf_end = 0x4009ae "UH\211\345H\203\354\020dH\213\004%(",
_IO_save_base = 0x4002c8 "H\203\354\bH\213\005\035\235,",
_IO_backup_base = 0xba1f4e1aa56a16b1 ,
_IO_save_end = 0x4016d0 "AVA\276?l",
_markers = 0x401760,
_chain = 0x0,
_fileno = 0,
_flags2 = 0,
_old_offset = 5035219255199143601,
_cur_column = 5809,
_vtable_offset = 24 '\030',
_shortbuf = ,
_lock = 0x0,
_offset = 0,
_codecvt = 0x0,
_wide_data = 0x0,
_freeres_list = 0x0,
_freeres_buf = 0x0,
__pad5 = 4196782,
_mode = 1,
_unused2 = "\000\000\000\000\250\343\377\377\377\177\000\000\320\026@\000\000\000\000"
},
vtable = 0x0
}
pwndbg>
注意:
需要使用帶符號的libc, 然而ubuntu自帶libc.so的是去符號的. 需要自行下載帶符號libc或者自己編譯, 編譯方式可以參考我之前一篇博客
Appendix
下載idasdk:
-34)
)
)
- Pandas多級索引MultiIndex)
)