如何在elf中查看libc函数的程序集

在elf中查看libc函数的程序集，可以通过以下步骤进行：

确定目标elf文件：首先，需要确定要查看的目标elf文件，该文件包含了程序的可执行代码和相关的库函数。
安装调试工具：为了查看程序集，需要安装一个适当的调试工具。在Linux系统中，常用的调试工具是GDB（GNU调试器）。可以使用以下命令安装GDB：
安装调试工具：为了查看程序集，需要安装一个适当的调试工具。在Linux系统中，常用的调试工具是GDB（GNU调试器）。可以使用以下命令安装GDB：
启动GDB：打开终端，进入目标elf文件所在的目录，并执行以下命令启动GDB：
启动GDB：打开终端，进入目标elf文件所在的目录，并执行以下命令启动GDB：
设置断点：在GDB中，可以设置断点来暂停程序的执行，以便查看程序集。可以使用以下命令在目标函数上设置断点：
设置断点：在GDB中，可以设置断点来暂停程序的执行，以便查看程序集。可以使用以下命令在目标函数上设置断点：
运行程序：执行以下命令运行程序：
运行程序：执行以下命令运行程序：
查看程序集：当程序执行到断点处时，GDB会暂停程序的执行。可以使用以下命令查看当前断点处的程序集：
查看程序集：当程序执行到断点处时，GDB会暂停程序的执行。可以使用以下命令查看当前断点处的程序集：
这将显示当前函数的程序集指令列表。
继续执行程序：如果想继续执行程序，可以使用以下命令：
继续执行程序：如果想继续执行程序，可以使用以下命令：

以上是在elf中查看libc函数的程序集的基本步骤。对于不同的libc函数，可以重复设置断点和查看程序集的步骤来获取更多信息。

对于腾讯云相关产品和产品介绍链接地址，可以参考腾讯云官方文档或咨询腾讯云客服获取更详细的信息。

相关·内容

ROP-Ret2libc学习

利用原理 ret2libc这种攻击方式主要是针对动态链接的编译的程序，因为在正常情况下，程序中是找不到system() execve()这种系统函数的(如果有这些系统函数的程序就可以直接控制返回地址指向他们...，就不用再通过这麻烦的方法了) 因为程序是动态链接生成的，所以在程序运行时会调用libc.so(程序运行时会将所需要的动态链接库加载到进程空间)，然后通过system execve等系统函数在内存中的地址来覆盖掉返回地址.../sh”字符串程序中自身就有system函数，但是没有”/bin/sh”字符串程序中自身就没有system函数和”/bin/sh”字符串，但给出了libc.so文件程序中自身就没有system函数和...bin/sh的地址当程序中没有字符串/bin/sh时我们可以利用程序中某些函数如:read,fgets,gets等函数将/bin/sh字符串写入bss段对于只给出了...，通过ldd查询来找出其使用libc.so版本是哪一个,然后再去找system()函数和/bin/sh字符串解题步骤确定程序使用的libc库，通过命令ldd查看利用cyclic算出多少字节溢出

7543 0

PWN从入门到放弃(7)——栈溢出之ret2libc

不过有的题目也不会给出libc库，需要我们根据函数在libc库中的偏移量来查找对应的libc库。...计算libc基址 libc基地址 = 函数实际地址 – 函数在libc库中的偏移地址 system_addr = libc基地址 + system在libc库中的偏移地址利用ret2libc需解决的问题...程序中有可输出地址内容的函数，如：puts()；计算libc基址；找到 system() 函数的地址；找到 “/bin/sh” 这个字符串的地址。...2) 查看程序流程运行一下程序，看看程序的大概流程程序获取一次用户输入 3) 分析程序&查找漏洞点将程序扔到ida pro里分析首先分析main()函数 int __cdecl main(int...在本地调试成功后，将libc库换成题目给的，然后执行脚本即可。这里可使用ldd命令来查看当前程序所使用的libc库地址。

4121 0

BUUCTF-刷题记录

sub_40060d的函数可以直接查看flag，控制eip指向这个函数即可 EXP from pwn import * sh = process("....那么整体思路便是先用\x00来截断strncmp的比较，然后跟上较大的值如\xff，当程序到sub_80487d0函数中时，就可以构造ROP链进行溢出了 EXP from pwn import *...ciscn_2019_s_3 利用SROP技术因为程序中自带write函数，可以输出栈的地址，那么就只用接收一下这个地址，然后以该地址-read参数在栈中的偏移量就可以得出binsh的地址了...但是给出了libc版本，并且程序中有printf函数，拿来泄露基地址，最后利用libc中的system即可返回shell。...可以看到只开启了nx保护这里有两个常见的方法来获取flag 方法1：使用程序中已有的get_flag函数来读取flag 使用ida查看伪代码可以看到这个get_flag函数要求传入的两个参数必须为814536271

2.1K1 0

ROP-Ret2libc详解

利用原理 ret2libc 这种攻击方式主要是针对动态链接(Dynamic linking) 编译的程序，因为正常情况下是无法在程序中找到像 system() 、execve() 这种系统级函数....当程序开始运行时会加载系统库中的函数，通过函数返回地址直接指向系统库（libc.so.6）中的函数，如system函数，从而执行例如system函数获得shell。...第一次劫持是为了泄露出某个函数的地址（需要构造两条件）控制程序eip指向，为第二次劫持做准备寻找output函数（如puts和write）和待泄露函数只能泄露使用了的函数：因为动态链接库的加载机制是...lazy原则（got表） libc.so 动态链接库中的函数之间相对偏移固定。...，先确定泄露出的某函数的真实地址，在利用后三位在libc_database中确定所使用的库并下载到本地第一次溢出泄露函数真实地址得到基地址要使用output函数，如puts和write函数（

1.8K4 0

通过修改第三方so的elf符号表兼容redhat6.2下低版本glibc

背景：第三方so依赖glibc2.14版本，如何在不升级redhat 6.2自带的gblic2.12情况下，运行so？...结论：通过16进制编辑器修改so的elf符号表来解决这个问题，即强制让so里依赖高版本gblic的函数指向低版本的glibc。...so指向2.2.5版本修改elf readelf -sV libTaSESDK.so >1.txt 通过readelf 命令查看so的ELF 的符号表定位到 .gnu.version_r ，其表示二进制程序实际依赖的库文件版本...如果行数比较多，可以通过Version版本与 .gnu.version的信息对应，再与.dynsym对应来找到对应的函数。...hash 值，vna_other 为对应的 .gnu.version 表中符号的版本值，vna_name 指向库名称字符串的偏移量（也可以在 ELF 头中找到），vna_next 为下一个条目的位置（

1.3K2 0

PWN从入门到放弃(10)——栈溢出之ret2libc(x64)

前面我们介绍了32位elf程序ret2libc的利用方法本篇我们介绍一下64位的ret2libc 0x00 例题题目附件下载 1）查看文件信息 $ file ret2libc $ checksec...ret2libc 2）查看程序流程运行一下程序，看看程序的大概流程程序提供一次输入一次输出 3）分析程序&查找漏洞点将程序扔到ida pro里分析首先分析main()函数我们看到，程序使用了gets...libc基地址，再计算system函数和binsh的地址 4）构造payload 首先构造第一段payload 这里需要注意，64位程序和32位程序有比较大的区别，32位程序函数参数是通过栈来传参，我们只需要构造一个栈结构即可...8，因为64位程序的地址长度为8 当我们成功获取到puts函数的实际地址后，即可将本地调试改成远程调试，将远程服务器上的程序puts函数实际地址泄露出来，然后根据puts函数的实际地址来查找远程服务器上所使用的...amd64的库，32位程序选择i386的库我们将对应库下载下来，放到程序文件夹下，重命名位libc.so，并将其导入脚本 libc = ELF('.

6751 0

栈溢出利用之Return to dl-resolve

0x00 前言在CTF中一般的栈溢出题目会给出程序对应的libc，这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址，比如system、/bin/sh或是libc基址。...这个时候如果我们要计算system函数的地址的话，可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本，因为一个libc函数地址的低三位在对应的libc版本中总是不变的...rel_off即为需要重定位的函数在rel_plt节中的偏移，该节查看如下 ? 上面是重定位变量，下面是重定位函数，我们主要看下面的部分。...比如第一个函数setbuf，在表中占第一位，那么它的rel_off就为0，第二个函数read的偏移就为8.第n个函数的偏移为n*len_of_elfRel，在32位程序中len_of_elfRel大小为...index } Elf32_Sym; 查看内存的话一般看到的是下面这个样子的： ?

5680 0

PWN ret2libc

/ciscn_2019_c_1可以查看文件拥有的gadget。...泄露信息以测算内存中libc地址获得本elf中的gadgets： ROPgadget --binary ....这意味着rip中的数据是puts_got所保留的put()函数内存地址。它将被利用作为下一步put()的参数。使得控制流被劫持，输出了put()函数在远端服务器的内存中的地址。.../ciscn_2019_c_1') # Ubuntu18 栈对齐 ret = 0x4006b9 # 获取puts函数在plt与got表中的地址 puts_plt = elf.plt['puts']...计算出system的在程序中的地址 system_addr = libc_base + libc.dump('system') # 计算出binsh的在程序中的地址 binsh_addr

5641 0

程序运行时间测试 - 使用libc 中 time 函数实现秒级的运行时间检测

c 标准库中，有time 函数，可以返回 1970年1月1日开始到现在的秒数，我们可以调用两次的时间差来计算程序运行时间： https://github.com/yaowenxu/Workplace/...blob/master/timer/timetimer.c NAME time -- get time of day LIBRARY Standard C Library (libc...北航系统结构研究所 * Date: 2019-08-18 13:03:53 * LastEditTime: 2019-08-18 13:14:33 * Description: 使用 C 语言库 time 函数...对程序运行计时以秒为单位 */ #include #include #include int str2int(char* str){...更多关于C语言相关的知识，请关注 cnblogs.com/xuyaowen

1.1K2 0

ELF文件保护机制解读及绕过

ELF文件保护机制解读及绕过查看ELF文件保护机制，通过工具checksec（https://github.com/slimm609/checksec.sh） 1root@ubuntu:~checksec...例子，将/bin/sh写入.bss，然后调用system函数首先，file命令查看文件属性： 1rop: ELF 32-bit LSB executable, Intel 80386, version...，修改指定位置，如scoreboard中的homework： 1#!...，每个函数都要增加五条汇编指令地址随机化可通过格式化字符串漏洞，泄漏栈上的内容，如__libc_start_main_ret地址，通过libc-database确定libc版本，查找libc中的Magic...地址，修改某个后续会调用的函数的GOT表，getshell 比如scoreboard中的echo2 1#!

1.2K4 0

linux常用命令--开发调试篇

/cmdTest a=10,b=0 Floating point exception (core dumped) 程序内容是在main函数中调用test，计算a/b的值，其中b的值为0，因此程序由于除...elf，是64位、运行于x86-64的程序，not striped表明elf文件中还保留着符号信息以及调试信息等不影响程序运行的内容。...查看函数或者全局变量是否存在于elf文件中--nm nm命令用于查看elf文件的符号信息。文件编译出来之后，我们可能不知道新增加的函数或者全局变量是否已经成功编译进去。...打印elf文件中的可打印字符串--strings 例如你在代码中存储了一个版本号信息，那么即使编译成elf文件后，仍然可以通过strings搜索其中的字符串甚至可以搜索某个.c文件是否编译在其中： strings...bss段：存放程序中未初始化的全局变量的字节数大小当我们知道各个段的大小之后，如果有减小程序大小的需求，就可以有针对性的对elf文件进行优化处理。

1.5K3 0

PWN从入门到放弃(11)——栈溢出之rop

通过上一篇文章栈溢出漏洞原理详解与利用，我们可以发现栈溢出的控制点是ret处，那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值，从而控制程序的执行流程。...注：通俗的来说，rop就是利用程序中已有的程序段来拼接一个我们需要的功能（函数）。...0x02 例题例题下载（例题为铁人三项第五赛区_2018_rop） 1）查看程序信息 $ checksec 2018_rop 32位程序，开启了NX保护（意味着栈不可执行） 2）IDA pro 分析...打开看到vulnerable_function()直接跟进 read()函数处存在溢出，溢出偏移为0x8C 根据我们之前讲的题目，这种只存在溢出的题目需要泄漏一个函数的实际地址，再计算libc基地址。...，之前我们都是用puts函数打印puts函数的实际地址，我们也可以用write函数打印write函数的实际地址（当然也可以打印其他函数的实际地址），这里我用wirte函数打印__libc_start_main

4371 0

二进制学习系列-栈溢出之2018红帽杯

", byte_804A180, byte_804A080); 仔细查看发现nbytes为姓名和职业所输入的字符串的和，所以我们可以推断，read函数中地址s到返回值地址并没有这么大，即使只要姓名和职业的字符串足够长...返回值地址，所以偏移量为0xffffcfdc-0xffffcec7 = 277 偏移量有了我们可以开始思考该如何去构造playload，查看文件中的函数 ?...我们利用返回值跳板跳转到puts函数打印出__libc_start_main函数的地址，从而找到libc版本找出system函数以及/bin/sh函数的地址。...思路：利用偏移返回到puts函数地址打印出__libc_start_main函数的地址找出对应的libc版本计算出相应的system函数以及/bin/sh字符串的地址重新返回到main函数再次利用偏移返回到.../pwn2') libc = ELF('./libc.6.so') elf = ELF('.

5882 1

Nemu-Wp

10条指令可以用： help：查看所有指令，以及其作用 c：继续执行程序（有点像gdb中的c命令） q：退出程序 si：单步执行程序 info：显示所有的断点信息（后面可以用来泄露libc） x：读取内存的内容...那么利用思想就是先设置一个断点，让head不为NULL，然后利用任意地址写的功能，向head中写入got表中的地址，然后利用info函数打印断点信息，来泄露libc中的地址，从而计算出libc的基址，由于...然后又由于写入与读取都是通过结构体的偏移来实现的，可以在ida中查看到，old_value的位置位于head偏移0x30的位置，所以读写的时候需要减去0x30。.../nemu') elf=ELF('./nemu') libc=ELF('....+ hex(libc_base)) sys_addr = libc_base+libc.symbols['system'] mem_set(head_addr,0) strcmp_got=elf.got

4172 0

Pwn-手写汇编之pwnable_orw

程序分析 ? checksec看到程序没有开启nx保护，即我们可以在栈中执行shellcode ?...进到该函数看，重点在prctl函数的使用，根据我百度引经据典一番操作后了解到这两句的主要作用是禁止程序提升权限，并且禁止除open、write、read函数外的系统调用使用利用思路既然无法直接调用...system那我们就可以结合已有的条件来曲线救国，如：使用open打开flag -> 再通过read函数将flag的内容读取到某地址中 -> 最后使用write函数打印出该地址的内容然鹅，难点就在于我们要手写这段过程的汇编代码来读入程序中...,libc,one_ggs elf_addr = "....libc = ELF(libc_addr) else: libc = ELF(libc_addr) try: sh = remote(ip

1.3K2 0

几个命令了解ELF文件的”秘密“

我们可以知道，它是ELF可执行文件，且是64位程序，有动态链接，最后的not stripped也表明了它保留了符号表信息或者调试信息。...这里也可以参考《动态库的制作和使用》。查看符号表新加的函数或者全局变量不知道有没有编译进去？...如何看看符号表里有没有吧（前提是符号表没有被去掉）： $ nm hello |grep main #符号表中查找main函数 U __libc_start_main@...@GLIBC_2.2.5 0000000000400526 T main 如果没有找到或者前面是U，没有地址，表明在这个elf文件中没有定义这个函数。...总结 ELF文件中隐藏了丰富的信息，只要使用得当，将会帮助我们更好地进行开发或者问题的定位。

2.3K2 0

BUU PWN

发现是64位然后拉进64位IDA查看伪代码 ? 进行代码审计，看到在程序的入口main函数下有一个fun函数，查看fun函数 ?...位程序，拖进IDA 通过字符串搜索看到了 cat /flag.txt的字符串，看到在main函数的上方有一个sub_40060D,发现cat falg.txt在这个函数中地址为：0x40060d 我自己做的时候偏移是...中的system函数和字符串/bin/sh来getshell exp # #-*-coding:utf-8 from pwn import * #sh = process('..../ciscn_2019_c_1') #libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') libc = ELF('/home/ly0n/pwn/tools/libc6...['puts'] #system函数的真实地址 system_addr = base_addr+libc.sym['system'] #/bin/sh在libc文件内的地址 binsh_addr = base_addr

8862 0

PWNCTF部分复现

由于程序保护全开，不过PIE对本题没什么影响，这里我选择泄露栈上的__libc_start_main函数地址，推算出libc基址后用one_gadget找到一发getshell的偏移覆盖saved rip...ROP方法需要pop rdi ret，如果用elf中的gadget，需要计算出程序加载基址，必须再次泄露绕过PIE，这里我直接用了libc中的pop rdi ret，不需要再泄露一次了不过这里我打远程的时候有一些玄学问题...本题需要注意到函数指针v5在栈上，原本v5被赋值成dologic，而调试发现dologic和giveshell的函数只有最低一字节不同，正好绕过PIE 用peda的info functions查看 ?...这里如果要给开了PIE的程序下断点，我一般是先vmmap看ELF的基址，然后手动加上函数偏移判断的绕过也比较简单，第二个为0即可通常，一个内存页大小为0x1000，这表明地址的后12位，3个十六进制数的地址是始终不变的...泄露出函数在GOT表中的位置后计算出libc基址，调整one_gadget的地址这里交互时也可以发现都必须是有符号的数，写入的负数输出时仍然是负数 ?

8772 0

含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库（中）

下图是Linux内核代码中与ELF文件的装载相关的一些代码： /fs/binfmt_elf.c中 Load_elf_binary的代码走读：检查ELF文件头部信息(一致性检查) 加载程序头表(可以看到一个可执行程序必须至少有一个段...libc.so中有300K 条指令，2 MiB 大小，每个程序如果都静态链接，浪费的空间很大，最好是整个系统里只有一个 libc 的副本，而每个用到 libc 的程序在运行时都可以用到 libc 中的代码...我们通过创建一个动态链接库 libhuge.so，然后创建1000个进程去调用这个库中的foo函数，该函数是128M 个 nop。...也就是说，库中的foo函数确实是动态链接的，内存中只有一份foo的副本。这在操作系统内核不难实现：所有以只读方式映射同一个文件的部分（如代码部分）时，都指向同一个副本，这个过程中会创建引用计数。...可以通过readelf -d [fileName]来查看。它对应的是elf.h中的Elf64_Dyn这个结构体。

2.6K2 1

吴章金：如何创建一个可执行的共享库

：如何让共享库文件也可以直接执行如何在可执行文件中用 dlopen 解析自身的函数这两个需求汇总起来，可以大体理解为如何让一个程序既可以作为共享库，又能够直接运行。...先来看看两类文件的区别当前 Linux 下面的二进制程序标准格式是 ELF，这类格式可以用来表示 4 种不同类型的文件：可重定位目标文件（.o），用于静态链接可执行文件格式，用于运行时创建进程映像...共享目标文件（.so，共享库），协同可执行文件创建进程映像 Core dump（core），运行过程中崩溃时自动生成，用于调试我们来看中间两类：可执行文件如果不引用外部库函数，那么所有符号地址是确定的...（-m32 用来生成采用 i386 指令集的代码）： $ gcc -m32 -o hello hello.c $ file hello hello: ELF 32-bit LSB executable,...我们在程序中主动加入一个 .interp 节区来指定动态链接器吧。

1.1K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云