背景

最近比赛遇到了一个题目, 32位静态链接去符号了. 所以用IDA分析的时候很多libc的库函数都无法识别, 就需要在 IDA 中引入 sig 文件. 从而可以识别诸如 read, write, malloc, free 这些库函数. 虽然网上已经有很多制作好的sig文件, 但是还是应该学会自己制作sig文件以备不时之需.

有了 sig 文件后静态分析是没问题了, 但是动态调试的时候因为没有符号还是很麻烦, 比如这题我就需要查看 _IO_FILE_plus 这个结构体的内容就会很麻烦

pwndbg> p *(struct _IO_FILE_plus *) 0xf7ffdbe9

No struct type named _IO_FILE_plus.

所以我们还需要在gdb中导入libc中的符号表.

下面就是具体解决方案

一. 制作 sig 文件

需要使用 idasdk, 下载链接在本文底部.

我是在windows下制作的, 建议下载解压后添加到系统路径中:idasdk70\flair70\bin\win

1.获取libc.a

我的系统是 ubuntu 16.04 server. 这个系统上 32位 libc.a 的位置是 /usr/libx32/libc.a, 64位的我没找到

制作pat文件

需要用到上面找到的libc.a 以及 idasdk70\flair70\bin\win\ 下的 pelf.exe:

pelf.exe .\libc.a .\libc.pat

根生成 sig文件

需要用到上一步生成的 pat文件以及 idasdk70\flair70\bin\win\下的 sigmake.exe

sigmake.exe .\libc.pat .\libc.sig

这一步可能会报错

.\libc.sig: modules/leaves: 1306/1575, COLLISIONS: 14

See the documentation to learn how to resolve collisions.

猜测是因为有些函数会对应好几个符号, 为了保证函数和符号一一对应, 就需要人为干预一下.

解决方法就是修改当前目录下的 libc.exec 文件, 具体操作文件里有提示.

修改之后再执行一遍

sigmake.exe .\libc.pat .\libc.sig

即可得到 libc.sig 文件.

导入IDA

首先将上一步得到的 sig 文件复制到 IDA安装目录的sig/pc下.

然后打开IDA ， shift+F5，右键添加新的签名文件, 选择 libc.sig即可

二. gdb 导入符号表

方法很简单

gdb -e ./pwn -s ./libc.so

pwn 是去符号静态链接的文件.

libc.so 是本地带符号的动态链接库.

libc.so和pwn所使用的libc的架构得一致.

如果想在pwntools里面使用的话可以这样

io = process("./pwn")

gdb.attach(io, "add-symbol-file ./libc.so 0")

实例(凑字数):

➜ test gcc ./test.c -s --static -o pwn

➜ test gdb ./pwn

pwndbg> r

Starting program: /mnt/hgfs/ctf/ctf_games/test/pwn

^C

Program received signal SIGINT, Interrupt.

pwndbg> p *(struct _IO_FILE_plus *) $rsp

No struct type named _IO_FILE_plus.

pwndbg> add-symbol-file ./libc_2.23.so 0

Reading symbols from ./libc_2.23.so...done.

pwndbg> p *(struct _IO_FILE_plus *) $rsp

$1 = {

file = {

_flags = 4196856,

_IO_read_ptr = 0x10e1000004d2 ,

_IO_read_end = 0x524c03e851558b00 ,

_IO_read_base = 0x6ca018 "ЮC",

_IO_write_base = 0x400c66 "\211\307\350", ,

_IO_write_ptr = 0x0,

_IO_write_end = 0x100000000 ,

_IO_buf_base = 0x7fffffffe3a8 "#\346\377\377\377\177",

_IO_buf_end = 0x4009ae "UH\211\345H\203\354\020dH\213\004%(",

_IO_save_base = 0x4002c8 "H\203\354\bH\213\005\035\235,",

_IO_backup_base = 0xba1f4e1aa56a16b1 ,

_IO_save_end = 0x4016d0 "AVA\276؞l",

_markers = 0x401760,

_chain = 0x0,

_fileno = 0,

_flags2 = 0,

_old_offset = 5035219255199143601,

_cur_column = 5809,

_vtable_offset = 24 '\030',

_shortbuf = ,

_lock = 0x0,

_offset = 0,

_codecvt = 0x0,

_wide_data = 0x0,

_freeres_list = 0x0,

_freeres_buf = 0x0,

__pad5 = 4196782,

_mode = 1,

_unused2 = "\000\000\000\000\250\343\377\377\377\177\000\000\320\026@\000\000\000\000"

},

vtable = 0x0

}

pwndbg>

注意:

需要使用带符号的libc, 然而ubuntu自带libc.so的是去符号的. 需要自行下载带符号libc或者自己编译, 编译方式可以参考我之前一篇博客

Appendix

下载idasdk: