9.1 更多 Linux 工具
dd
dd 命令用于复制文件并对原文件的内容进行转换和格式化处理。
重要参数
patch 偏移 12345 处的一个字节:
常见用法
dump 运行时的内存镜像:
cat /proc/<pid>/maps找到内存中 text 段和 data 段
dd if=/proc/<pid>/mem of=/path/a.out skip=xxxx bs= 1 count=xxxx
dmesg
dmesg 命令用于显示 Linux 内核环形缓冲区(ring buffer)的信息。开机信息和各种错误信息都会放到里面。在调试和故障诊断中非常有用。
file
file 命令用来探测给定文件的类型。
技巧
当文件是链接文件时,直接显示符号链接所指向的文件类别。
edb
edb 是一个同时支持x86、x86-64的调试器。它主要向 OllyDbg 工具看齐,并可通过插件体系进行功能的扩充。
安装
foremost
foremost 是一个基于文件文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。
ldd
ldd 命令用于打印程序或者库文件所依赖的共享库列表。
ldd 实际上仅是 shell 脚本,重点是环境变量 LD_TRACE_LOADED_OBJECTS,在执行文件时把它设为 1,则与执行 ldd 效果一样。
ltrace
ltrace 命令用于跟踪进程调用库函数的情况。
md5sum
md5sum 命令采用MD5报文摘要算法(128位)计算和检查文件的校验和。
nm
nm 命令被用于显示二进制目标文件的符号表。
objcopy
如果我们要将一个二进制文件,比如图片、MP3音乐等东西作为目标文件中的一个段,可以使用 objcopy 工具,比如我们有一个图片文件 “image.jpg”:
三个变量的使用方法如下:
这一技巧可能出现在 CTF 隐写题中,使用 foremost 工具可以将图片提取出来:
objdump
objdump 命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。
对特定段进行转储:
对地址进行指定和转储:
当包含调试信息时,还可以使用 -l 和 -S 来分别对应行号和源码。
结合使用 objdump 和 grep。
查找 GOT 表地址:
从可执行文件中提取 shellcode (注意,在objdump中可能会删除空字节):
od
od 命令用于输出文件的八进制、十六进制或其它格式编码的字节,通常用于显示或查看文件中不能直接显示在终端的字符。
另外加上 z 可以显示 ASCII 码。
用十六进制转存每个字节:
转存字符串:
readelf
readelf 命令用来显示一个或者多个 elf 格式的目标文件的信息,可以通过它的选项来控制显示哪些信息。
另外 -w 选项表示 DWARF2 调试信息。
查找库中函数的偏移量,常用于 ret2lib:
例如:
socat
socat 是 netcat 的加强版,CTF 中经常需要使用使用它连接服务器。
连接远程端口
监听端口
正向 shell
反弹 shell
将本地 80 端口转发到远程的 80 端口
fork 服务器
跟踪 malloc 和 free 调用及相应的地址:
ssdeep
模糊哈希算法又叫基于内容分割的分片分片哈希算法(context triggered piecewise hashing, CTPH),主要用于文件的相似性比较。
strace
strace 命令对应用的系统调用和信号传递的跟踪结果进行分析,以达到解决问题或者是了解应用工作过程的目的。
strip
strip 命令用于删除可执行文件中的符号和段。
使用 -d 后,可以删除不使用的信息,并保留函数名等。用 gdb 进行调试时,只要保留了函数名,都可以进行调试。另外如果对 .o 和 .a 文件进行 strip 后,就不能和其他目标文件进行链接了。
strings
strings 命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列,以换行符或空字符结束。strings 命令对识别随机对象文件很有用。
-e 的作用,例如在这样一个二进制文件中:
字符串 w0wgreat 类型为 utf32le,而不是传统的 ascii,这时 strings 就需要指定 -e L 参数:
组合使用 strings 和 grep。
在 ret2lib 攻击中,得到字符串的偏移:
检查是否使用了 UPX 加壳
valgrind
valgrind 能检测出内存的非法使用等。使用它无需在检测对象程序编译时指定特别的参数,也不需要链接其他的函数库。
xxd
xxd 的作用就是将一个文件以十六进制的形式显示出来。
Last updated
Was this helpful?