CTF-All-In-One/doc/6.1_Linuxtools.md

# 6.1 更多 Linux 工具

- [dd](#dd)
- [file](#file)
- [edb](#edb)
- [foremost](#foremost)
- [ldd](#ldd)
- [ltrace](#ltrace)
- [md5sum](#md5sum)
- [objdump](#objdump)
- [readelf](#readelf)
- [ssdeep](#ssdeep)
- [strace](#strace)
- [strings](#strings)
- [xxd](#xxd)


## dd
用于复制文件并对原文件的内容进行转换和格式化处理。

#### 重要参数
```text
if=FILE         read from FILE instead of stdin
of=FILE         write to FILE instead of stdout
skip=N          skip N ibs-sized blocks at start of input
bs=BYTES        read and write up to BYTES bytes at a time
```

#### 常见用法
```text
$ dd if=[file1] of=[file2] skip=[size] bs=[bytes]
```


## file
**file** 命令用来探测给定文件的类型。


## edb
**edb** 是一个同时支持x86、x86-64的调试器。它主要向 OllyDbg 工具看齐，并可通过插件体系进行功能的扩充。


## foremost
foremost是一个基于文件文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。
#### 安装
```text
$ yaourt -S foremost
```


## ldd
用于打印程序或者库文件所依赖的共享库列表。


## ltrace
**ltrace** 命令用于跟踪进程调用库函数的情况。

#### 重要参数
```text
-f                  trace children (fork() and clone()).
-p PID              attach to the process with the process ID pid.
-S                  trace system calls as well as library calls.
```


## md5sum
**md5sum** 命令采用MD5报文摘要算法（128位）计算和检查文件的校验和。

#### 重要参数
```text
-b, --binary         read in binary mode
-c, --check          read MD5 sums from the FILEs and check them
```


## objdump
**objdump** 命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。

#### 重要参数
```text
-d, --disassemble        Display assembler contents of executable sections
-R, --dynamic-reloc      Display the dynamic relocation entries in the file
```

#### 常见用法
结合使用 *objdump* 和 *grep*。
```text
objdump -d [executable] | grep -A 30 [function_name]
```

查找 **GOT** 表地址：
```text
objdump -R [binary] | grep [function_name]
```

从可执行文件中提取 **shellcode** (注意，在objdump中可能会删除空字节):
```text
for i in `objdump -d print_flag | tr '\t' ' ' | tr ' ' '\n' | egrep '^[0-9a-f]{2}$' ` ; do echo -n "\x$i" ; done
```


## readelf
**readelf** 命令用来显示一个或者多个 elf 格式的目标文件的信息，可以通过它的选项来控制显示哪些信息。

#### 重要参数
```text
-h --file-header       Display the ELF file header
-l --program-headers   Display the program headers
-S --section-headers   Display the sections' header
-s --syms              Display the symbol table
```

#### 常见用法
查找库中函数的偏移量，常用于**ret2lib**：
```text
readelf -s [path/to/library.so] | grep [function_name]
```


## ssdeep
模糊哈希算法又叫基于内容分割的分片分片哈希算法（context triggered piecewise hashing, CTPH），主要用于文件的相似性比较。

#### 重要参数
```text
-m - Match FILES against known hashes in file
-b - Uses only the bare name of files; all path information omitted
```

#### 常见用法
```text
ssdeep -b orginal.elf > hash.txt
ssdeep -bm hash.txt modified.elf
```


## strace
**strace** 命令对应用的系统调用和信号传递的跟踪结果进行分析，以达到解决问题或者是了解应用工作过程的目的。

#### 重要参数
```text
-o file        send trace output to FILE instead of stderr
-c             count time, calls, and errors for each syscall and report summary
-e expr        a qualifying expression: option=[!]all or option=[!]val1[,val2]...
   options:    trace, abbrev, verbose, raw, signal, read, write, fault
-p pid         trace process with process id PID, may be repeated
```


## strings
**strings** 命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列，以换行符或空字符结束。strings命令对识别随机对象文件很有用。

#### 重要参数
```text
-a --all                  Scan the entire file, not just the data section [default]
-t --radix={o,d,x}        Print the location of the string in base 8, 10 or 16
-e --encoding={s,S,b,l,B,L} Select character size and endianness:
                            s = 7-bit, S = 8-bit, {b,l} = 16-bit, {B,L} = 32-bit
```

#### 常见用法
组合使用 *strings* 和 *grep*。

在 **ret2lib** 攻击中，得到字符串的偏移：
```text
strings -t x /lib32/libc-2.24.so | grep /bin/sh
```

检查是否使用了 **UPX** 加壳
```text
strings [executable] | grep -i upx
```

#### 练习
[strings_crackme](../src/Reverse/strings_crackme)

[flag_pwnablekr](../src/Reverse/flag_pwnablekr)


## xxd
**xxd** 的作用就是将一个文件以十六进制的形式显示出来。

#### 重要参数：
```text
-g          number of octets per group in normal output. Default 2 (-e: 4).
-i          output in C include file style.
-l len      stop after <len> octets.
-u          use upper case hex letters.
```

#### 常见用法
```text
xxd -g1
```

#### 练习
[xxd_crackme](../src/Reverse/xxd_crackme) (使用 *strings* 再做一次)
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
+								# 6.1 更多 Linux 工具
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								- [dd](#dd)
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
+								- [file](#file)
 								- [edb](#edb)
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								- [foremost](#foremost)
-												update

											
										
										
											2017-07-18 23:05:44 +07:00
+								- [ldd](#ldd)
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
+								- [ltrace](#ltrace)
 								- [md5sum](#md5sum)
 								- [objdump](#objdump)
 								- [readelf](#readelf)
 								- [ssdeep](#ssdeep)
 								- [strace](#strace)
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
+								- [strings](#strings)
 								- [xxd](#xxd)
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## dd
 								用于复制文件并对原文件的内容进行转换和格式化处理。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								#### 重要参数
 								```text
 								if=FILE         read from FILE instead of stdin
 								of=FILE         write to FILE instead of stdout
 								skip=N          skip N ibs-sized blocks at start of input
 								bs=BYTES        read and write up to BYTES bytes at a time
 								```
 								#### 常见用法
 								```text
 								$ dd if=[file1] of=[file2] skip=[size] bs=[bytes]
 								```
 								## file
 								**file** 命令用来探测给定文件的类型。
 								## edb
 								**edb** 是一个同时支持x86、x86-64的调试器。它主要向 OllyDbg 工具看齐，并可通过插件体系进行功能的扩充。
 								## foremost
 								foremost是一个基于文件文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。
 								#### 安装
 								```text
 								$ yaourt -S foremost
 								```
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## ldd
-												update

											
										
										
											2017-07-18 23:05:44 +07:00
+								用于打印程序或者库文件所依赖的共享库列表。
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## ltrace
 								**ltrace** 命令用于跟踪进程调用库函数的情况。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
 								#### 重要参数
 								```text
 								-f                  trace children (fork() and clone()).
 								-p PID              attach to the process with the process ID pid.
 								-S                  trace system calls as well as library calls.
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## md5sum
 								**md5sum** 命令采用MD5报文摘要算法（128位）计算和检查文件的校验和。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
 								#### 重要参数
 								```text
 								-b, --binary         read in binary mode
 								-c, --check          read MD5 sums from the FILEs and check them
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## objdump
 								**objdump** 命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
 								#### 重要参数
 								```text
 								-d, --disassemble        Display assembler contents of executable sections
 								-R, --dynamic-reloc      Display the dynamic relocation entries in the file
 								```
 								#### 常见用法
 								结合使用 *objdump* 和 *grep*。
 								```text
 								objdump -d [executable] | grep -A 30 [function_name]
 								```
 								查找 **GOT** 表地址：
 								```text
 								objdump -R [binary] | grep [function_name]
 								```
 								从可执行文件中提取 **shellcode** (注意，在objdump中可能会删除空字节):
 								```text
 								for i in `objdump -d print_flag | tr '\t' ' ' | tr ' ' '\n' | egrep '^[0-9a-f]{2}$' ` ; do echo -n "\x$i" ; done
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## readelf
 								**readelf** 命令用来显示一个或者多个 elf 格式的目标文件的信息，可以通过它的选项来控制显示哪些信息。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
 								#### 重要参数
 								```text
 								-h --file-header       Display the ELF file header
 								-l --program-headers   Display the program headers
 								-S --section-headers   Display the sections' header
 								-s --syms              Display the symbol table
 								```
 								#### 常见用法
 								查找库中函数的偏移量，常用于**ret2lib**：
 								```text
 								readelf -s [path/to/library.so] | grep [function_name]
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## ssdeep
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
+								模糊哈希算法又叫基于内容分割的分片分片哈希算法（context triggered piecewise hashing, CTPH），主要用于文件的相似性比较。
 								#### 重要参数
 								```text
 								-m - Match FILES against known hashes in file
 								-b - Uses only the bare name of files; all path information omitted
 								```
 								#### 常见用法
 								```text
 								ssdeep -b orginal.elf > hash.txt
 								ssdeep -bm hash.txt modified.elf
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## strace
 								**strace** 命令对应用的系统调用和信号传递的跟踪结果进行分析，以达到解决问题或者是了解应用工作过程的目的。
-												update

											
										
										
											2017-07-17 22:20:12 +07:00
 								#### 重要参数
 								```text
 								-o file        send trace output to FILE instead of stderr
 								-c             count time, calls, and errors for each syscall and report summary
 								-e expr        a qualifying expression: option=[!]all or option=[!]val1[,val2]...
 								   options:    trace, abbrev, verbose, raw, signal, read, write, fault
 								-p pid         trace process with process id PID, may be repeated
 								```
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## strings
 								**strings** 命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列，以换行符或空字符结束。strings命令对识别随机对象文件很有用。
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
 								#### 重要参数
 								```text
-												update

											
										
										
											2017-07-18 23:05:44 +07:00
+								-a --all                  Scan the entire file, not just the data section [default]
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
+								-t --radix={o,d,x}        Print the location of the string in base 8, 10 or 16
 								-e --encoding={s,S,b,l,B,L} Select character size and endianness:
 								                            s = 7-bit, S = 8-bit, {b,l} = 16-bit, {B,L} = 32-bit
 								```
 								#### 常见用法
 								组合使用 *strings* 和 *grep*。
 								在 **ret2lib** 攻击中，得到字符串的偏移：
 								```text
 								strings -t x /lib32/libc-2.24.so | grep /bin/sh
 								```
 								检查是否使用了 **UPX** 加壳
 								```text
 								strings [executable] | grep -i upx
 								```
 								#### 练习
-												add cmd tips

											
										
										
											2017-08-05 19:44:45 +07:00
+								[strings_crackme](../src/Reverse/strings_crackme)
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
-												add cmd tips

											
										
										
											2017-08-05 19:44:45 +07:00
+								[flag_pwnablekr](../src/Reverse/flag_pwnablekr)
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
-												update

											
										
										
											2017-07-21 17:01:25 +07:00
+								## xxd
 								**xxd** 的作用就是将一个文件以十六进制的形式显示出来。
-												update

											
										
										
											2017-07-17 21:02:41 +07:00
 								#### 重要参数：
 								```text
 								-g          number of octets per group in normal output. Default 2 (-e: 4).
 								-i          output in C include file style.
 								-l len      stop after <len> octets.
 								-u          use upper case hex letters.
 								```
 								#### 常见用法
 								```text
 								xxd -g1
 								```
 								#### 练习
-												add cmd tips

											
										
										
											2017-08-05 19:44:45 +07:00
+								[xxd_crackme](../src/Reverse/xxd_crackme) (使用 *strings* 再做一次)