还在因为远程环境或者定制环境没有调试工具而苦恼吗?星盟安全团队给您带来福音啦。
星盟安全团队推出了一款定制化调试工具:https://github.com/Ex-Origin/debug-server。
该工具不需要用户在远程环境或者定制环境中安装一大堆调试工具。利用gdbserver程序,自动对目标进行Attach。
除此以外该工具还支持一键启动strace程序观察目前的系统调用情况,以及或者目前程序的内存映射地址。
主程序使用C语言编写,可以方便的在Linux系列的系统上进行编译使用,帮您解决跨架构的烦恼。
其使用方法如下所示:
Usage: debug-server [-hmsvn] [-e CMD] [-p PID] [-o CMD]General:-e CMD service argv-p PID attach to PID-o CMD get pid by popen-h print help message-m enable multi-service-s halt at entry point-v show debug information-n disable address space randomization-u do not limit memory
其中 debug-server 提供了几个简单的接口:
🔹attach(script=”):attach目标进程,script为传入的gdb预执行脚本。
🔹strace():strace目标进程,strace信息将由debug-server的日志中输出。
🔹address(search:str):从/proc/pid/maps中获得目标进程对应lib库的地址,比如 address(‘libc.so.6’) 就是获得 libc 库的地址。
🔹run_service():运行服务,该API常用于apache和nginx等网络服务。
依赖
远端环境需要安装 gdbserver, strace 来保证服务正常。
本地环境需要安装 gdb-multiarch, pwntools 来保证服务正常。
使用举例
远端环境和本地环境可以是同一个环境,但是为了凸显 debug-server 对于嵌入式的便利性,这里的远端环境使用的是 aarch64 架构的系统。
远程环境使用无桌面环境的 Debian GNU/Linux 12(bookworm) aarch64 架构。
本地环境使用带桌面环境的 Ubuntu 24.04 LTS x86_64 架构。
远程测试的例子如下:
// aarch64-linux-gnu-gcc -g echo.c -o echoint main(){while(1){char buf[0x100] = {0};int result = 0;write(STDOUT_FILENO, "Input: ", 7);result = read(STDIN_FILENO, buf, sizeof(buf)-1);write(STDOUT_FILENO, "Output: ", 8);write(STDOUT_FILENO, buf, result);}return 0;}
其对应的依赖如下:
~linux-vdso.so.1 (0x0000ffffbd14a000)libc.so.6 => /lib/libc.so.6 (0x0000ffffbcf30000)/lib/ld-linux-aarch64.so.1 (0x0000ffffbd10d000)
远程环境输入如下命令对目标程序进行调试服务:
~ # ./debug-server -e ./echo2024-05-19 18:16:25 | INFO | Start debugging service, pid=160, version=1.3.3
随后本地使用 gdbpwn.py 连接到对应的远程 IP:
$ gdbpwn.py 192.168.1.82024-05-19 18:17:28,277 : INFO : Connecting to 192.168.1.8:95452024-05-19 18:17:28,282 : INFO : It has connected successfully2024-05-19 18:17:28,282 : INFO : Start gdb client
随后即可在 exp.py 中插入所需要的调试代码即可:
#!/usr/bin/env python3# -*- coding:utf-8 -*-from pwn import *context.clear(arch='amd64', os='linux', log_level='debug')attach_host = '192.168.1.8'attach_port = 9545def attach(script=''):tmp_sock = socket.socket(socket.AF_INET6, socket.SOCK_DGRAM, socket.IPPROTO_UDP)gdb_script = re.sub(r'#.*', '',f'''define prx/16gx $rebase(0x0)endb *$rebase(0x0)''' + 'n' + script)gdbinit = '/tmp/gdb_script_' + attach_hostscript_f = open(gdbinit, 'w')script_f.write(gdb_script)script_f.close()_attach_host = attach_hostif attach_host.find(':') == -1: _attach_host = '::ffff:' + attach_hosttmp_sock.sendto(struct.pack('BB', 0x02, len(gdbinit.encode())) + gdbinit.encode(), (_attach_host, attach_port))tmp_sock.recvfrom(4096)tmp_sock.close()print('attach successfully')def strace():tmp_sock = socket.socket(socket.AF_INET6, socket.SOCK_DGRAM, socket.IPPROTO_UDP) # UDP_attach_host = attach_hostif attach_host.find(':') == -1: _attach_host = '::ffff:' + attach_hosttmp_sock.sendto(struct.pack('B', 0x03), (_attach_host, attach_port))tmp_sock.recvfrom(4096)tmp_sock.close()print('strace successfully')def address(search:str)->int:tmp_sock = socket.socket(socket.AF_INET6, socket.SOCK_DGRAM, socket.IPPROTO_UDP)_attach_host = attach_hostif attach_host.find(':') == -1: _attach_host = '::ffff:' + attach_hosttmp_sock.sendto(struct.pack('BB', 0x04, len(search.encode())) + search.encode(), (_attach_host, attach_port))tmp_recv = tmp_sock.recvfrom(4096)[0]tmp_sock.close()return struct.unpack('Q', tmp_recv[2:10])[0]def run_service():tmp_sock = socket.socket(socket.AF_INET6, socket.SOCK_DGRAM, socket.IPPROTO_UDP) # UDP_attach_host = attach_hostif attach_host.find(':') == -1: _attach_host = '::ffff:' + attach_hosttmp_sock.sendto(struct.pack('B', 0x06), (_attach_host, attach_port))tmp_sock.recvfrom(4096)tmp_sock.close()print('run_service successfully')'''Your Code'''
其中 Your Code 指的是我们要写的调试代码。
简单的调试例子
下面我举个调试代码的例子,只需要把下面的代码替换成 Your Code 对应的部分即可,该例子演示了如何简单的调试一个程序。
sh = remote(attach_host, 9541)sh.recvuntil(b'Input: ')attach()sh.sendline(b'Hello world')sh.interactive()
其本地 exp.py 输出信息如下所示:
$ python3 exp.py[+] Opening connection to 192.168.1.8 on port 9541: Done[DEBUG] Received 0x7 bytes:b'Input: 'attach successfully[DEBUG] Sent 0xc bytes:b'Hello worldn'[*] Switching to interactive mode$
本地 gdbpwn.py 输出信息如下所示:
$ gdbpwn.py 192.168.1.82024-05-19 18:17:28,277 : INFO : Connecting to 192.168.1.8:95452024-05-19 18:17:28,282 : INFO : It has connected successfully2024-05-19 18:17:28,282 : INFO : Start gdb client2024-05-19 18:21:49,450 : INFO : Receive COMMAND_GDBSERVER_ATTACHpwndbg: loaded 157 pwndbg commands and 46 shell commands. Type pwndbg [--shell | --all] [filter] for a list.pwndbg: created $rebase, $base, $ida GDB functions (can be used with print/break)Remote debugging using ::ffff:192.168.1.8:9549...Breakpoint 1 at 0xaaaab8580000...─────────────────────[ DISASM / aarch64 / set emulate on ]──────────────────────► 0xffff9a219e64 <read+36> svc #0 <SYS_read>fd: 0 (socket:[3088])buf: 0xffffd4b72538 ◂— 0nbytes: 0xff0xffff9a219e68 <read+40> mov x19, x00xffff9a219e6c <read+44> cmn x0, #1, lsl #120xffff9a219e70 <read+48> b.hi0xffff9a219e74 <read+52> mov x0, x190xffff9a219e78 <read+56> ldp x19, x20, [sp, #0x10]0xffff9a219e7c <read+60> ldp x29, x30, [sp], #0x300xffff9a219e80 <read+64> ret0xffff9a219e84 <read+68> mov x20, x20xffff9a219e88 <read+72> str x21, [sp, #0x20]0xffff9a219e8c <read+76> mov x21, x1───────────────────────────────────[ STACK ]────────────────────────────────────...pwndbg>
自动下断点
下面演示一个自动下断点的例子。首先查看一下 echo 程序的汇编代码:
$ aarch64-linux-gnu-objdump -d ./echo...0000000000000814 <main>:814: d10483ff sub sp, sp, #0x120818: a9117bfd stp x29, x30, [sp, #272]81c: 910443fd add x29, sp, #0x110820: f00000e0 adrp x0, 1f000 <__FRAME_END__+0x1e62c>824: f947f400 ldr x0, [x0, #4072]828: f9400001 ldr x1, [x0]82c: f90087e1 str x1, [sp, #264]830: d2800001 mov x1, #0x0 // #0834: 910023e0 add x0, sp, #0x8838: 4f000400 movi v0.4s, #0x083c: ad000000 stp q0, q0, [x0]840: ad010000 stp q0, q0, [x0, #32]844: ad020000 stp q0, q0, [x0, #64]848: ad030000 stp q0, q0, [x0, #96]84c: ad040000 stp q0, q0, [x0, #128]850: ad050000 stp q0, q0, [x0, #160]854: ad060000 stp q0, q0, [x0, #192]858: ad070000 stp q0, q0, [x0, #224]85c: b90007ff str wzr, [sp, #4]860: d28000e2 mov x2, #0x7 // #7864: 90000000 adrp x0, 0 <__abi_tag-0x278>868: 91238001 add x1, x0, #0x8e086c: 52800020 mov w0, #0x1 // #1870: 97ffff98 bl 6d0 <write@plt>874: 910023e0 add x0, sp, #0x8878: d2801fe2 mov x2, #0xff // #25587c: aa0003e1 mov x1, x0880: 52800000 mov w0, #0x0 // #0884: 97ffff9b bl 6f0 <read@plt>888: b90007e0 str w0, [sp, #4]88c: d2800102 mov x2, #0x8 // #8890: 90000000 adrp x0, 0 <__abi_tag-0x278>894: 9123a001 add x1, x0, #0x8e8898: 52800020 mov w0, #0x1 // #189c: 97ffff8d bl 6d0 <write@plt>8a0: b98007e1 ldrsw x1, [sp, #4]8a4: 910023e0 add x0, sp, #0x88a8: aa0103e2 mov x2, x18ac: aa0003e1 mov x1, x08b0: 52800020 mov w0, #0x1 // #18b4: 97ffff87 bl 6d0 <write@plt>8b8: d503201f nop8bc: 17ffffde b 834 <main+0x20>
这次我们的目标是在 89c 处下断点,那么其对应的调试代码如下:
sh = remote(attach_host, 9541)sh.recvuntil(b'Input: ')attach(f'''b *{address("echo")+0x89c}c''')sh.sendline(b'Hello world')sh.interactive()
其在 89c处下断点后,立刻执行了 c (continue)指令,最终结果是其可以一步执行到 89c 处,而不用每次手动调节,这极大加快了调试进度。
本地 gdbpwn.py 输出信息如下所示:
Breakpoint 1 at 0xaaaae31d0000Breakpoint 2 at 0xaaaae31d089c: file echo.c, line 12.Breakpoint 2, 0x0000aaaae31d089c in main () at echo.c:1212 write(STDOUT_FILENO, "Output: ", 8);...─────────────────────[ DISASM / aarch64 / set emulate on ]──────────────────────► 0xaaaae31d089c <main+136> blfd: 1 (socket:[3150])buf: 0xaaaae31d08e8 ◂— adr x15, #0xaaaae32b9793 /* 'Output: ' */n: 80xaaaae31d08a0 <main+140> ldrsw x1, [sp, #4]0xaaaae31d08a4 <main+144> add x0, sp, #80xaaaae31d08a8 <main+148> mov x2, x10xaaaae31d08ac <main+152> mov x1, x00xaaaae31d08b0 <main+156> mov w0, #10xaaaae31d08b4 <main+160> bl0xaaaae31d08b8 <main+164> nop0xaaaae31d08bc <main+168> b0xaaaae31d08c0 <_fini> nop0xaaaae31d08c4 <_fini+4> stp x29, x30, [sp, #-0x10]!───────────────────────────────[ SOURCE (CODE) ]────────────────────────────────
lib库下断点
通常 gdb 对于 php 和 nginx 等需要导入 lib 库的方式难以下断点进行调试,但是本调试模式可以弥补该缺点。
举个例子,现在需要在 write 函数入口处第 8 字节的偏移处下个断点,其 libc.so.6 的汇编如下所示:
$ $ aarch64-linux-gnu-objdump -d libc.so.6...00000000000d9f10 <__write@@GLIBC_2.17>:d9f10: a9bd7bfd stp x29, x30, [sp, #-48]!d9f14: d0000663 adrp x3, 1a7000 <getdate_err@@GLIBC_2.17+0x338>d9f18: 910003fd mov x29, spd9f1c: 3967a063 ldrb w3, [x3, #2536]
那么该调试框架只需要进行如下编写即可:
sh = remote(attach_host, 9541)sh.recvuntil(b'Input: ')attach(f'''b *{address("libc.so.6")+0xd9f18}c''')sh.sendline(b'Hello world')sh.interactive()
其首先获得libc.so.6的地址,随后向对应的偏移下断点,整个过程自动实现,方便了对于 lib 库的调试,尤其是对于没有符号函数的 lib 库,其便利效果更突出。
本地 gdbpwn.py 输出信息如下所示:
Breakpoint 1 at 0xaaaab94f0000Breakpoint 2 at 0xffffb6b09f18Breakpoint 2, 0x0000ffffb6b09f18 in write () from target:/lib/libc.so.6...─────────────────────[ DISASM / aarch64 / set emulate on ]──────────────────────► 0xffffb6b09f18 <write+8> mov x29, sp FP => 0xffffc4e3bd900xffffb6b09f1c <write+12> ldrb w3, [x3, #0x9e8]0xffffb6b09f20 <write+16> stp x19, x20, [sp, #0x10]0xffffb6b09f24 <write+20> sxtw x19, w00xffffb6b09f28 <write+24> cbz w3,0xffffb6b09f2c <write+28> mov x0, x19 X0 => 10xffffb6b09f30 <write+32> mov x8, #0x40 X8 => 0x400xffffb6b09f34 <write+36> svc #00xffffb6b09f38 <write+40> mov x19, x00xffffb6b09f3c <write+44> cmn x0, #1, lsl #120xffffb6b09f40 <write+48> b.hi───────────────────────────────────[ STACK ]────────────────────────────────────
调试网络应用程序
针对 nginx 和 sshd 等网络应用程序,由于其不是通过 标准输入输出流 进行交互,而是通过 socket 交互,这类网络应用程序的调试过程往往十分繁琐,并且出现问题时还需要重启服务。
这里我们演示使用 debug-server 来调试这类网络程序。
远程环境输入如下命令对目标程序进行调试:
./debug-server -e /usr/sbin/sshd -o 'pidof sshd'对应的调试的代码如下:
run_service()time.sleep(1)attach()sh = remote(attach_host, 22)sh.send(b'aaaa')sh.interactive()
在启动该调试前,需要确保当前系统没有已经启动的 sshd 服务。
其中 run_service() 函数会执行 /usr/sbin/sshd,随后 time.sleep(1) 让调试脚本暂停 1 秒以确保 sshd 服务启动成功,随后 attach() 函数对目标进程进行 attach,其进程pid的定位方式是通过 popen 函数执行 pidofsshd 而得到。对应了 -o ‘pidof sshd’ 参数。
通过该种调试方式,可以极大简化网络应用调试流程。
禁用随机化
远程调试服务启动时,加上 -n 参数即可关闭目标程序的随机化。
./debug-server -n -e ./echo该操作仅对目标程序有效,并不会影响系统的随机化规则,因此其具有更高的安全性。
strace举例
对于 strace 支持,只需要将 attach() 函数替换成 strace() 函数即可。
其对应的调试代码如下:
sh = remote(attach_host, 9541)sh.recvuntil(b'Input: ')strace()sh.sendline(b'Hello world')sh.interactive()
其对应的远程输出日志如下:
2024-05-19 21:02:46 | INFO | Strace start, pid=389strace: Process 388 attachedread(0, "Hello worldn", 255) = 12write(1, "Output: ", 8) = 8write(1, "Hello worldn", 12) = 12write(1, "Input: ", 7) = 7read(0,
通过该种方式,可以观察指定代码的系统调用情况,方便研究人员理解程序。
入口处暂停
针对某些无 IO 的程序,或者是需要在入口函数之前进行修改的程序,使用 pwntools 进行调试时会十分麻烦。
本 debug-server 可以使用 -s 参数使得程序在入口处暂停,这样可以便利的对程序进行特异性初始化,尤其对于逆向某些无IO的程序很有帮助。
其远程调试服务启动的命令如下:
./debug-server -s -e ./echo对应的调试脚本如下:
sh = remote(attach_host, 9541)attach(f'''b maincc''')sh.recvuntil(b'Input: ')sh.sendline(b'Hello world')sh.interactive()
由于 debug-server 采用发送 SIGSTOP 信号的方式暂停程序,因此第一个 c(continue)命令是处理 SIGSTOP 信号的,第二个 c 命令才会让程序继续执行下去。
本地 gdbpwn.py 输出信息如下所示:
Breakpoint 1 at 0xaaaaac560000Breakpoint 2 at 0xaaaaac560820: file echo.c, line 5.Program received signal SIGCONT, Continued.0x0000ffff8a2d2980 in ?? () from target:/lib/ld-linux-aarch64.so.1...Breakpoint 2, main () at echo.c:5...─────────────────────[ DISASM / aarch64 / set emulate on ]──────────────────────► 0xaaaaac560820 <main+12> adrp x0, #0xaaaaac57f000 X0 => 0xaaaaac57f000 ◂— 00xaaaaac560824 <main+16> ldr x0, [x0, #0xfe8] X0 => 0xffff8a2f7b88 (__stack_chk_guard) ◂— 0x657551da6d76f0000xaaaaac560828 <main+20> ldr x1, [x0] X1 => 0x657551da6d76f0000xaaaaac56082c <main+24> str x1, [sp, #0x108]0xaaaaac560830 <main+28> mov x1, #0 X1 => 00xaaaaac560834 <main+32> add x0, sp, #8 X0 => 0xffffdf9036d8 —▸ 0xffff8a2f1f60 ◂— 00xaaaaac560838 <main+36> movi v0.4s, #00xaaaaac56083c <main+40> stp q0, q0, [x0]0xaaaaac560840 <main+44> stp q0, q0, [x0, #0x20]0xaaaaac560844 <main+48> stp q0, q0, [x0, #0x40]0xaaaaac560848 <main+52> stp q0, q0, [x0, #0x60]───────────────────────────────[ SOURCE (CODE) ]────────────────────────────────
如果不开启入口处暂停功能的话,程序则无法在入口处停下,其原因在与 IO 速度过快,如果不暂停程序,IO的速度始终大于调试的速度,使得无法调试 IO 过程之前的代码。
开源支持
本 debug-server 使用 MIT 开源证书,欢迎各位感兴趣的极客们加入维护。
文末:
欢迎师傅们加入我们:
星盟安全团队纳新群1:222328705
星盟安全团队纳新群2:346014666
有兴趣的师傅欢迎一起来讨论!
PS:团队纳新简历投递邮箱:
责任编辑:@wuyua师傅
原文始发于微信公众号(星盟安全):debug-server 自动化调试工具
