背景
最近比賽遇到了一個(gè)題目, 32位靜態(tài)鏈接去符號(hào)了. 所以用IDA分析的時(shí)候很多l(xiāng)ibc的庫(kù)函數(shù)都無法識(shí)別, 就需要在 IDA 中引入 sig 文件. 從而可以識(shí)別諸如 read, write, malloc, free 這些庫(kù)函數(shù). 雖然網(wǎng)上已經(jīng)有很多制作好的sig文件, 但是還是應(yīng)該學(xué)會(huì)自己制作sig文件以備不時(shí)之需.
有了 sig 文件后靜態(tài)分析是沒問題了, 但是動(dòng)態(tài)調(diào)試的時(shí)候因?yàn)闆]有符號(hào)還是很麻煩, 比如這題我就需要查看 _IO_FILE_plus 這個(gè)結(jié)構(gòu)體的內(nèi)容就會(huì)很麻煩
pwndbg> p *(struct _IO_FILE_plus *) 0xf7ffdbe9
No struct type named _IO_FILE_plus.
所以我們還需要在gdb中導(dǎo)入libc中的符號(hào)表.
下面就是具體解決方案
一. 制作 sig 文件
需要使用 idasdk, 下載鏈接在本文底部.
我是在windows下制作的, 建議下載解壓后添加到系統(tǒng)路徑中:idasdk70\flair70\bin\win
1.獲取libc.a
我的系統(tǒng)是 ubuntu 16.04 server. 這個(gè)系統(tǒng)上 32位 libc.a 的位置是 /usr/libx32/libc.a, 64位的我沒找到
-
制作pat文件
需要用到上面找到的libc.a 以及idasdk70\flair70\bin\win\下的pelf.exe:
pelf.exe .\libc.a .\libc.pat
-
根生成 sig文件
需要用到上一步生成的 pat文件以及idasdk70\flair70\bin\win\下的sigmake.exe
sigmake.exe .\libc.pat .\libc.sig
這一步可能會(huì)報(bào)錯(cuò)
.\libc.sig: modules/leaves: 1306/1575, COLLISIONS: 14
See the documentation to learn how to resolve collisions.
猜測(cè)是因?yàn)橛行┖瘮?shù)會(huì)對(duì)應(yīng)好幾個(gè)符號(hào), 為了保證函數(shù)和符號(hào)一一對(duì)應(yīng), 就需要人為干預(yù)一下.
解決方法就是修改當(dāng)前目錄下的 libc.exec 文件, 具體操作文件里有提示.
修改之后再執(zhí)行一遍
sigmake.exe .\libc.pat .\libc.sig
即可得到 libc.sig 文件.
-
導(dǎo)入IDA
首先將上一步得到的 sig 文件復(fù)制到 IDA安裝目錄的sig/pc下.
然后打開IDA 部脚, shift+F5瞎抛,右鍵添加新的簽名文件, 選擇 libc.sig即可
二. gdb 導(dǎo)入符號(hào)表
方法很簡(jiǎn)單
gdb -e ./pwn -s ./libc.so
pwn 是去符號(hào)靜態(tài)鏈接的文件.
libc.so 是本地帶符號(hào)的動(dòng)態(tài)鏈接庫(kù).
libc.so和pwn所使用的libc的架構(gòu)得一致.
如果想在pwntools里面使用的話可以這樣
io = process("./pwn")
gdb.attach(io, "add-symbol-file ./libc.so 0")
實(shí)例(湊字?jǐn)?shù)):
? test gcc ./test.c -s --static -o pwn
? test gdb ./pwn
pwndbg> r
Starting program: /mnt/hgfs/ctf/ctf_games/test/pwn
^C
Program received signal SIGINT, Interrupt.
pwndbg> p *(struct _IO_FILE_plus *) $rsp
No struct type named _IO_FILE_plus.
pwndbg> add-symbol-file ./libc_2.23.so 0
Reading symbols from ./libc_2.23.so...done.
pwndbg> p *(struct _IO_FILE_plus *) $rsp
$1 = {
file = {
_flags = 4196856,
_IO_read_ptr = 0x10e1000004d2 <error: Cannot access memory at address 0x10e1000004d2>,
_IO_read_end = 0x524c03e851558b00 <error: Cannot access memory at address 0x524c03e851558b00>,
_IO_read_base = 0x6ca018 "ЮC",
_IO_write_base = 0x400c66 "\211\307\350", <incomplete sequence \337>,
_IO_write_ptr = 0x0,
_IO_write_end = 0x100000000 <error: Cannot access memory at address 0x100000000>,
_IO_buf_base = 0x7fffffffe3a8 "#\346\377\377\377\177",
_IO_buf_end = 0x4009ae "UH\211\345H\203\354\020dH\213\004%(",
_IO_save_base = 0x4002c8 "H\203\354\bH\213\005\035\235,",
_IO_backup_base = 0xba1f4e1aa56a16b1 <error: Cannot access memory at address 0xba1f4e1aa56a16b1>,
_IO_save_end = 0x4016d0 "AVA\276?l",
_markers = 0x401760,
_chain = 0x0,
_fileno = 0,
_flags2 = 0,
_old_offset = 5035219255199143601,
_cur_column = 5809,
_vtable_offset = 24 '\030',
_shortbuf = <incomplete sequence \375>,
_lock = 0x0,
_offset = 0,
_codecvt = 0x0,
_wide_data = 0x0,
_freeres_list = 0x0,
_freeres_buf = 0x0,
__pad5 = 4196782,
_mode = 1,
_unused2 = "\000\000\000\000\250\343\377\377\377\177\000\000\320\026@\000\000\000\000"
},
vtable = 0x0
}
pwndbg>
注意:
需要使用帶符號(hào)的libc, 然而ubuntu自帶libc.so的是去符號(hào)的. 需要自行下載帶符號(hào)libc或者自己編譯, 編譯方式可以參考我之前一篇博客
Appendix
下載idasdk:
鏈接:https://pan.baidu.com/s/1M4LxMiRMrzvw8UKio2ed7w
提取碼:'6c366471'.decode(' ') :P
制作sig文件 參考: https://thinkycx.me/2019-07-15-how-to-use-signature-file-in-IDA.html
gdb導(dǎo)入符號(hào) 參考: http://blog.chinaunix.net/uid-13746440-id-5578584.html
