Common Binary Exploitation Protections & Bypasses

Habilitar Archivos Core

Los archivos core son un tipo de archivo generado por un sistema operativo cuando un proceso falla. Estos archivos capturan la imagen de memoria del proceso fallido en el momento de su terminación, incluyendo la memoria del proceso, registros y el estado del contador de programa, entre otros detalles. Esta instantánea puede ser extremadamente valiosa para depurar y entender por qué ocurrió el fallo.

Habilitando la Generación de Dumps Core

Por defecto, muchos sistemas limitan el tamaño de los archivos core a 0 (es decir, no generan archivos core) para ahorrar espacio en disco. Para habilitar la generación de archivos core, puedes usar el comando ulimit (en bash o shells similares) o configurar ajustes a nivel de sistema.

• Usando ulimit: El comando ulimit -c unlimited permite que la sesión de shell actual cree archivos core de tamaño ilimitado. Esto es útil para sesiones de depuración, pero no es persistente a través de reinicios o nuevas sesiones.

ulimit -c unlimited

• Configuración Persistente: Para una solución más permanente, puedes editar el archivo /etc/security/limits.conf para incluir una línea como * soft core unlimited, que permite a todos los usuarios generar archivos de núcleo de tamaño ilimitado sin tener que establecer ulimit manualmente en sus sesiones.

* soft core unlimited

Analizando Archivos de Núcleo con GDB

Para analizar un archivo de núcleo, puedes usar herramientas de depuración como GDB (el depurador GNU). Suponiendo que tienes un ejecutable que produjo un volcado de núcleo y el archivo de núcleo se llama core_file, puedes comenzar el análisis con:

gdb /path/to/executable /path/to/core_file

Este comando carga el ejecutable y el archivo de núcleo en GDB, lo que te permite inspeccionar el estado del programa en el momento del fallo. Puedes usar comandos de GDB para explorar la pila, examinar variables y entender la causa del fallo.