CTF 竞赛入门指南(CTF All In One)学习(七)

最新推荐文章于 2025-06-09 09:21:09 发布
原创 最新推荐文章于 2025-06-09 09:21:09 发布 · 2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF

本文是CTF竞赛入门系列的第七篇,主要介绍了ELF文件的类型、结构,包括.text、.data、.rodata和.bss段,并详细解析了ELF文件的头部、程序头、段表、字符串表、符号表和重定位等关键组成部分。通过实例展示了如何查看和理解这些结构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux ELF


实例

       首先,一个🌰,elfDemo.c

    #include<stdio.h>
    
    int global_init_var = 10;
    int global_uninit_var;
    
    void func(int sum) {
        printf("%d\n", sum);
    }
    
    void main(void) {
        static int local_static_init_var = 20;
        static int local_static_uninit_var;
        int local_init_val = 30;
        int local_uninit_var;
        
        func(global_init_var + local_init_val +
             local_static_init_var );
    }

       依次执行以下命令,将会生成三个文件:

    gcc -m32 -c elfDemo.c -o elfDemo.o
    gcc -m32 elfDemo.c -o elfDemo.out
    gcc -m32 -static elfDemo.c -o elfDemo_static.out

       然后,执行ldd命令打印所依赖的共享库:

    $ ldd elfDemo.out
            linux-gate.so.1 (0xf77b1000)
            libc.so.6 => /usr/lib32/libc.so.6 (0xf7597000)
            /lib/ld-linux.so.2 => /usr/lib/ld-linux.so.2 (0xf77b3000)
    $ ldd elfDemo_static.out
            not a dynamic executable

       可以看到elfDemo_static.out采用了静态链接的方式。
       执行file命令查看相应的文件格式:

    $ file elfDemo.o
    elfDemo.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV), not stripped
    $ file elfDemo.out
    elfDemo.out: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=50036015393a99344897cbf34099256c3793e172, not stripped
    $ file elfDemo_static.out
    elfDemo_static.out: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, for GNU/Linux 3.2.0, BuildID[sha1]=276c839c20b4c187e4b486cf96d82a90c40f4dae, not stripped
    $ file -L /usr/lib32/libc.so.6
    /usr/lib32/libc.so.6: ELF 32-bit LSB shared object, Intel 80386, version 1 (GNU/Linux), dynamically linked, interpreter /usr/lib32/ld-linux.so.2, BuildID[sha1]=ee88d1b2aa81f104ab5645d407e190b244203a52, for GNU/Linux 3.2.0, not stripped

ELF 文件类型

       Linux ELF(Executable Linked Format,可执行链接格式)文件有 4 种类型:

  • 可重定位文件(Relocatable File)
    • 包含代码和数据,可与其他目标文件链接成一个可执行文件或共享文件。
    • elfDemo.o
  • 可执行文件(Executable File)
    • 可直接执行的文件。
    • elfDemo_static.out
  • 共享目标文件(Shared Object File)
    • 包含用于链接的代码和数据。
    • 有两种方式,一是链接器将其与可重定位文件和其他共享目标文件链接起来,生成新的目标文件;二是动态链接器将其与可执行文件和其他共享目标文件结合,作为进程映像的一部分。
    • elfDemo.out
    • libc-2.25.so
  • 核心转储文件(Core Dump File)
    • 当进程意外终止时,系统可以将该进程的地址空间的内容及终止时的一些其他信息转储到核心转储文件。

       注意:与 Windows 不同,Linux 不以后缀区分文件类型,而是根据文件头的内容来判断。后缀只是便于操作人员自己知道这是什么类型的文件,对文件本身没有意义。因此,可执行文件文件一般没有后缀,是否可执行是权限问题,一般通过ls -l命令看文件属性中是否包含可执行权限(x)
       简化的 ELF 文件结构如下:

在这里插入图片描述
       可以看到代码保存在.text段,已初始化的静态局部变量和已初始化的全局变量保存在.data段,未初始化的静态局部变量和未初始化的全局变量保存在.bss段。

目标文件结构

       使用objdump命令查看elfDemo.o的内部结构:

    $ objdump -h elfDemo.o
    elfDemo.o:     file format elf32-i386
    Sections:
    Idx Name          Size      VMA       LMA       File off  Algn
      0 .group        00000008  00000000  00000000  00000034  2**2
                      CONTENTS, READONLY, GROUP, LINK_ONCE_DISCARD
      1 .text         00000078  00000000  00000000  0000003c  2**0
                      CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
      2 .data         00000008  00000000  00000000  000000b4  2**2
                      CONTENTS, ALLOC, LOAD, DATA
      3 .bss          00000004  00000000  00000000  000000bc  2**2
                      ALLOC
      4 .rodata       00000004  00000000  00000000  000000bc  2**0
                      CONTENTS, ALLOC, LOAD, READONLY, DATA
      5 .text.__x86.get_pc_thunk.ax 00000004  00000000  00000000  000000c0  2**0
                      CONTENTS, ALLOC, LOAD, READONLY, CODE
      6 .comment      00000012  00000000  00000000  000000c4  2**0
                      CONTENTS, READONLY
      7 .note.GNU-stack 00000000  00000000  00000000  000000d6  2**0
                      CONTENTS, READONLY
      8 .eh_frame     0000007c  00000000  00000000  000000d8  2**2
                      CONTENTS, ALLOC, LOAD, RELOC, READONLY, DATA

       可以看到,除.text段,.data段和.bss段还有其他段。且.bss段没有CONTENTS属性,表示实际上它并不存在,该段只是为未初始化的全局变量和未初始化的静态局部变量预留位置而已。

.text 段

    $ objdump -x -s -d elfDemo.o
    ......
    Sections:
    Idx Name          Size      VMA       LMA       File off  Algn
    ......
      1 .text         00000078  00000000  00000000  0000003c  2**0
                      CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
    ......
    Contents of section .text:
     0000 5589e553 83ec04e8 fcffffff 05010000  U..S............
     0010 0083ec08 ff75088d 90000000 005289c3  .....u.......R..
     0020 e8fcffff ff83c410 908b5dfc c9c38d4c  ..........]....L
     0030 240483e4 f0ff71fc 5589e551 83ec14e8  $.....q.U..Q....
     0040 fcffffff 05010000 00c745f4 1e000000  ..........E.....
     0050 8b880000 00008b55 f401ca8b 80040000  .......U........
     0060 0001d083 ec0c50e8 fcffffff 83c41090  ......P.........
     0070 8b4dfcc9 8d61fcc3                    .M...a..
    ......
    Disassembly of section .text:
    00000000 <func>:
       0:   55                      push   %ebp
       1:   89 e5                   mov    %esp,%ebp
       3:
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTF 竞赛入门指南CTF All In One学习(六)
m_pNext的博客
07-10 886
汇编基础MIPS汇编基础寄存器程序结构数据声明代码注释模板指令Load/Store算术指令   MIPS汇编基础 寄存器 共 32 个通用寄存器。 汇编语言中,寄存器总以美元符号$为前缀。 寄存器有 2 种寻址方式: 使用寄存器编号,例如$ 0到$ 31; 使用别名,例如$ t1,$ sp。 特殊寄存器Lo和Hi用于存储乘法和除法的结果,不能直接寻址, 使用特殊指令mfhi(move from hi = 从 Hi 移动 )和mflo( 从 Lo 移动 )访问内容。 栈从高到低生长。   程
CTF 竞赛入门指南CTF All In One学习(一)
m_pNext的博客
07-07 2225
Web安全基础HTML基础XSS漏洞HTTP协议基础COOKIEHTTPSJavaScript基础嵌入形式数据类型 HTML基础         HTML中一些属性具有修改样式的功能,在CTF中可用于信息隐藏。 XSS漏洞         导致原因:嵌入在HTML中的其他动态语言。 HTTP协议基础 COOKIE 服务器使用Set-Cookie
CTF权威指南 笔记 -第二章二进制文件- 2.2 -ELF文件格式
m0_64180167的博客
04-30 1592
ELF就是可执行可连接格式 为linux运行文件格式。
CTF逆向入门
2301_77472496的博客
09-13 1094
ELF文件在各种平台下都通用,ELF文件有32位版本和64位版本,其文件头内容是一样的,只不过有些成员的大小不一样。在这个二进制文件中,符号没有被剥离,因此我们可以看到函数名称,这使得它更容易理解。节表头部(Section Headers)包含了描述文件节区的信息,比如大小、偏移等,但这些对二进制文件的执行流程来说并不重要。我们先来看看 ELF 文件头,如果想详细了解,可以查看ELF的man page文档。3、我们可以查看“.rodata ”部分的偏移量,可以更好的查看这些字符。它到底循环了多少个字符?
CTF-All-In-One 项目解析:DefcampCTF2015 entry_language 逆向挑战
最新发布
gitblog_00117的博客
06-09 1010
CTF-All-In-One 项目解析:DefcampCTF2015 entry_language 逆向挑战 题目概述 entry_language 是 Defcamp CTF 2015 的一道逆向工程题目,属于典型的密码验证类挑战。题目提供了一个 ELF 64 位可执行文件,要求参赛者通过逆向分析找到正确的密码。 文件分析 首先我们检查文件基本信息: $ file entry_language ...
CTF 比赛全量指南ctf-all-in-one).pdf
08-19
包含CTF比赛各类题型的介绍、基础知识以及例题实战讲解。非常适合新人入门学习,学通这本基本上可以在赛场上有一战之力了。
【转】CTF-All-In-OneCTF入门到放弃)pdf
03-20
CTF-All-In-OneCTF入门到放弃) ——“与其相信谣言,不如一直学习。”
CTF 竞赛入门指南ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-All-In-OneCTF入门到放弃)笔记1
weixin_45950429的博客
04-22 1371
CTF-All-In-OneCTF入门到放弃)笔记1 CTF简介 概述 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的C
CTF-ALL-IN-ONE
10-16
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安 全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑 客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至 今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场 国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目 前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。 CTF 为团队赛,通常以三人为限,要想在比赛中取得胜利,就要求团队中每个人在 各种类别的题目中至少精通一类,三人优势互补,取得团队的胜利。同时,准备和 参与 CTF 比赛是一种有效将计算机科学的离散面、聚焦于计算机安全领域的方 法。 文档来源于网络。若有侵权,请联系本人删除。谢谢
CTF 竞赛入门指南CTF All In One学习(五)
m_pNext的博客
07-10 444
汇编基础X64汇编基础寄存器寻址模式指令指令后缀ARM汇编基础   X64汇编基础 寄存器 x64 extends x86’s 8 general-purpose registers to be 64-bit, and adds 8 new 64-bit registers. The 64-bit registers have names beginning with “r”, so for example the 64-bit extension of eax is called rax. The new
ctf-all-in-one
01-30
ctf-all-in-one
CTF一本通(ctf-all-in-one
04-27
CTF一本通,本文档页数相当大,内容覆盖全面,从原理到实战,反正就很牛逼!
ctf all in one
04-19
基本上的ctf所能涉及到的基础知识都涵盖了,是ctf热爱者提供一个入门的指导书籍,能够帮助了解一些基本概念与常用软件的基本操作还有一些出题人的思想
ctf-all-in-one.pdf
10-22
ctf-all-in-one.pdf ctf入门到入狱(×) ctf小白入门宝典
【亲测免费】 探索CTF世界:全方位学习资源——CTF-All-In-One
gitblog_00040的博客
03-22 1042
探索CTF世界:全方位学习资源——CTF-All-In-One 是一个精心编排的学习平台,专为那些对网络安全领域的Capture The Flag(CTF)比赛感兴趣的人设计。它汇集了丰富的学习材料、实战练习和参考资料,旨在帮助新手和进阶者快速提升在逆向工程、Web安全、密码学等领域的技能。 技术分析 1. 内容组织: 项目按照CTF的主要领域进行分类,包括但不限于Web安全、逆向工程、取证分析、...
CTF-All-In-One 2018.1.24
01-24
CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24
CTF 竞赛入门指南CTF All In One学习(九)
m_pNext的博客
07-16 660
内存管理        32 位系统有 4GB 的地址空间,其中 0x08048000 ~ 0xbfffffff 是用户空间(3GB),0xc0000000 ~ 0xffffffff 是内核空间(1GB)。(0x00000000 ~ 0x08048000 有 128M。为什么是0x00000000而不是0x00000000为起始?) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值