前言
《CSAPP》一书的Bomb实验是为了让读者了解一下汇编的基本知识,以及对gdb的基本使用。在这个过程中可以巩固,高级语言如C语言的代码在机器级别是怎么表示的,那些控制语句、循环语句、判断语句等都呈现怎样的规律。
Bomb实验有好几关,只有每一关都输入正确的指令才能够进入下一关,任何一步输入错误都会导致Bomb“爆炸”。接下来就从第一关开始,一点点拆开这个“Bomb”。
在下载了题目压缩包之后,打开竟然看到一个.c的源码文件,当打开想看一下源码的时候,才发现最后被嘲笑了。所以,还是踏踏实实,一点一点完成吧。
Phase_1
首先,通过命令objdump -d bomb得到可执行文件的反汇编代码,先看一下phase_1部分的代码。
1 2 3 4 5 6 7 8 9
0000000000400ee0 <phase_1>: 400ee0: 48 83 ec 08 sub $0x8,%rsp 400ee4: be 00 24 40 00 mov $0x402400,%esi 400ee9: e8 4a 04 00 00 callq 401338 <strings_not_equal> 400eee: 85 c0 test %eax,%eax 400ef0: 74 05 je 400ef7 <phase_1+0x17> 400ef2: e8 43 05 00 00 callq 40143a <explode_bomb> 400ef7: 48 83 c4 08 add $0x8,%rsp 400efb: c3 retq
第一部分就是热身,将输入的字符串与一个固定的字符串进行比较,这个固定字符串的地址为0x402400。
使用gdb调试bomb,在gdb中使用break phase_1下断点到函数phase_1,然后输入“r”运行,随便输入一个字符串,便会停到phase_1开始执行的地方,使用命令x/s 0x402400来查看这个地址的字符串是什么,我所得到的是:Border relations with Canada have never been better。接下来退出gdb,重新运行输入正确的字符串通过phase_1,我们就可以继续往下走了。
Phase_2
看一下phase_2的反汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
0000000000400efc <phase_2>: 400efc: 55 push %rbp 400efd: 53 push %rbx 400efe: 48 83 ec 28 sub $0x28,%rsp 400f02: 48 89 e6 mov %rsp,%rsi 400f05: e8 52 05 00 00 callq 40145c <read_six_numbers> 400f0a: 83 3c 24 01 cmpl $0x1,(%rsp) 400f0e: 74 20 je 400f30 <phase_2+0x34> 400f10: e8 25 05 00 00 callq 40143a <explode_bomb> 400f15: eb 19 jmp 400f30 <phase_2+0x34> 400f17: 8b 43 fc mov -0x4(%rbx),%eax 400f1a: 01 c0 add %eax,%eax 400f1c: 39 03 cmp %eax,(%rbx) 400f1e: 74 05 je 400f25 <phase_2+0x29> 400f20: e8 15 05 00 00 callq 40143a <explode_bomb> 400f25: 48 83 c3 04 add $0x4,%rbx 400f29: 48 39 eb cmp %rbp,%rbx 400f2c: 75 e9 jne 400f17 <phase_2+0x1b> 400f2e: eb 0c jmp 400f3c <phase_2+0x40> 400f30: 48 8d 5c 24 04 lea 0x4(%rsp),%rbx 400f35: 48 8d 6c 24 18 lea 0x18(%rsp),%rbp 400f3a: eb db jmp 400f17 <phase_2+0x1b> 400f3c: 48 83 c4 28 add $0x28,%rsp 400f40: 5b pop %rbx 400f41: 5d pop %rbp 400f42: c3 retq
从调用函数read_six_numbers就可以看出这一关是需要输入六个数字,如果想再确认一下,可以继续看该函数的反汇编代码。读到的6个数字存储的地址首地址存储在rsp寄存器中,所以(rsp)表示的就是第一个数字。首先第一个数字必须是1,这样跳转到地址0x400f30,取出第二个数字存到寄存器rbx,将最后一个数字之后的地址存放在寄存器rbp中(作为边界),跳转到地址0x400f17,取第一数字,乘以2(自己加自己),然后与第二个数字比较,需要相等,那么第二个数字就是2。接下来是循环,后面的数字都是前面数字的2倍。所以最终的结果是:1 2 4 8 16 32。
Phase_3
首先看phase_3的反汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37
0000000000400f43 <phase_3>: 400f43: 48 83 ec 18 sub $0x18,%rsp 400f47: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 400f4c: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 400f51: be cf 25 40 00 mov $0x4025cf,%esi 400f56: b8 00 00 00 00 mov $0x0,%eax 400f5b: e8 90 fc ff ff callq 400bf0 <[email protected] > 400f60: 83 f8 01 cmp $0x1,%eax 400f63: 7f 05 jg 400f6a <phase_3+0x27> 400f65: e8 d0 04 00 00 callq 40143a <explode_bomb> 400f6a: 83 7c 24 08 07 cmpl $0x7,0x8(%rsp) 400f6f: 77 3c ja 400fad <phase_3+0x6a> 400f71: 8b 44 24 08 mov 0x8(%rsp),%eax 400f75: ff 24 c5 70 24 40 00 jmpq *0x402470(,%rax,8) 400f7c: b8 cf 00 00 00 mov $0xcf,%eax 400f81: eb 3b jmp 400fbe <phase_3+0x7b> 400f83: b8 c3 02 00 00 mov $0x2c3,%eax 400f88: eb 34 jmp 400fbe <phase_3+0x7b> 400f8a: b8 00 01 00 00 mov $0x100,%eax 400f8f: eb 2d jmp 400fbe <phase_3+0x7b> 400f91: b8 85 01 00 00 mov $0x185,%eax 400f96: eb 26 jmp 400fbe <phase_3+0x7b> 400f98: b8 ce 00 00 00 mov $0xce,%eax 400f9d: eb 1f jmp 400fbe <phase_3+0x7b> 400f9f: b8 aa 02 00 00 mov $0x2aa,%eax 400fa4: eb 18 jmp 400fbe <phase_3+0x7b> 400fa6: b8 47 01 00 00 mov $0x147,%eax 400fab: eb 11 jmp 400fbe <phase_3+0x7b> 400fad: e8 88 04 00 00 callq 40143a <explode_bomb> 400fb2: b8 00 00 00 00 mov $0x0,%eax 400fb7: eb 05 jmp 400fbe <phase_3+0x7b> 400fb9: b8 37 01 00 00 mov $0x137,%eax 400fbe: 3b 44 24 0c cmp 0xc(%rsp),%eax 400fc2: 74 05 je 400fc9 <phase_3+0x86> 400fc4: e8 71 04 00 00 callq 40143a <explode_bomb> 400fc9: 48 83 c4 18 add $0x18,%rsp 400fcd: c3 retq
这段代码看着比较长,首先调用sscanf将输入的字符串做格式化处理,提取出两个值,地址0x4025cf存放的的字符串为“%d %d”,说明是两个整形,分别存放在内存(%rsp+0x8)(第一个数)和(%rsp+0xc)(第二个数)中。
第一个数不能大于7,后面的部分其实是一个switch语句(参考网络),根据第一个数,将第二个数与对应的数字比较,相等才可以通过。所以这一关的答案不唯一。在gdb中查看*0x402470(,%rax,8)根据rax值(也就是第一个数)的不同分别指向不同的地址:0对应0x400f7c,1对应0x400fb9,2对应0x400f83,3对应0x400f8a,4对应0x400f91,5对应0x400f98,6对应0x400f9f,7对应0x4400fa6。这些地址所对应的第二个数应该值对应关系为:(0 207)、(1 311)、(2 707)、(3 256)、(4 389)、(5 206)、(6 682)、(7 327),这些数对任意一组就是这一关的解答。
Phase_4
依然先看一下反汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
000000000040100c <phase_4>: 40100c: 48 83 ec 18 sub $0x18,%rsp 401010: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 401015: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 40101a: be cf 25 40 00 mov $0x4025cf,%esi 40101f: b8 00 00 00 00 mov $0x0,%eax 401024: e8 c7 fb ff ff callq 400bf0 <[email protected] > 401029: 83 f8 02 cmp $0x2,%eax 40102c: 75 07 jne 401035 <phase_4+0x29> 40102e: 83 7c 24 08 0e cmpl $0xe,0x8(%rsp) 401033: 76 05 jbe 40103a <phase_4+0x2e> 401035: e8 00 04 00 00 callq 40143a <explode_bomb> 40103a: ba 0e 00 00 00 mov $0xe,%edx 40103f: be 00 00 00 00 mov $0x0,%esi 401044: 8b 7c 24 08 mov 0x8(%rsp),%edi 401048: e8 81 ff ff ff callq 400fce <func4> 40104d: 85 c0 test %eax,%eax 40104f: 75 07 jne 401058 <phase_4+0x4c> 401051: 83 7c 24 0c 00 cmpl $0x0,0xc(%rsp) 401056: 74 05 je 40105d <phase_4+0x51> 401058: e8 dd 03 00 00 callq 40143a <explode_bomb> 40105d: 48 83 c4 18 add $0x18,%rsp 401061: c3 retq
通过gdb分析,还是需要从字符串中解析出来两个整型数字,分别存储在(%rsp+0x8)和(%rsp+0xc)两个内存单元中。第一个数字必须小于等于0xe,即十进制的14,然后将14存入寄存器edx,0存入esi,将第一个数字存入寄存器edi,这三个值作为函数func4的参数并调用该函数,函数返回值需为0。在这段代码最后要比较第二个数字是否等于0,不等于0就要“爆炸”,所以现在可以确定第一个数字要小于等于14,第二个数为0。
这里稍微提一下x86_64函数调用的参数顺序,前六个参数可以存放在寄存器中,后面更多的参数压栈,六个寄存器与参数对应的顺序如下图:
然后看一下函数func4的内容:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
0000000000400fce <func4>: 400fce: 48 83 ec 08 sub $0x8,%rsp 400fd2: 89 d0 mov %edx,%eax 400fd4: 29 f0 sub %esi,%eax 400fd6: 89 c1 mov %eax,%ecx 400fd8: c1 e9 1f shr $0x1f,%ecx 400fdb: 01 c8 add %ecx,%eax 400fdd: d1 f8 sar %eax 400fdf: 8d 0c 30 lea (%rax,%rsi,1),%ecx 400fe2: 39 f9 cmp %edi,%ecx 400fe4: 7e 0c jle 400ff2 <func4+0x24> 400fe6: 8d 51 ff lea -0x1(%rcx),%edx 400fe9: e8 e0 ff ff ff callq 400fce <func4> 400fee: 01 c0 add %eax,%eax 400ff0: eb 15 jmp 401007 <func4+0x39> 400ff2: b8 00 00 00 00 mov $0x0,%eax 400ff7: 39 f9 cmp %edi,%ecx 400ff9: 7d 0c jge 401007 <func4+0x39> 400ffb: 8d 71 01 lea 0x1(%rcx),%esi 400ffe: e8 cb ff ff ff callq 400fce <func4> 401003: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax 401007: 48 83 c4 08 add $0x8,%rsp 40100b: c3 retq
大概可以看出这是一个递归调用的函数,我们可以尝试写出它的高级语言伪代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
edx = 14 , esi = 0 , edi = input1; func4(edx, esi, edi) { ecx = (edx - esi) / 2 + rsi; if (ecx <= edi) { eax = 0 ; if (ecx < edi) { esi = rcx + 1 ; return 2 * func4(edx, esi, edi) + 1 ; } else { return eax; } } else { edx = rcx - 1 ; return 2 * func4(edx, esi, edi); } }
根据上面的伪代码很容易就可以看出来,需要计算出来的ecx等于edi就可以,初始化的edx=14,esi=0,那么计算出来的ecx就等于7,所以可以输入第一个数字为7,其他的可能值或许可以试试这个递归函数能否算出来,我怕麻烦就免了吧。由第二个数字必需为0,那我们就可以得到一组答案为“7 0”,经验证是正确的。
这里对上面汇编代码翻译成伪代码做一点小说明:
开头的一段代码:
1 2 3 4 5 6
mov %edx,%eax sub %esi,%eax mov %eax,%ecx shr $0x1f,%ecx add %ecx,%eax sar %eax
这就是将edx与esi之差除以2,但是其中考虑到了差为负数的情况,因为计算机中整型数字都是以补码的形式存放,负数如果直接右移一位,而且绝对值又不是2的倍数,结果就会变小,这种现象可以自己模拟一下。
最后递归的式子:eax或者rax存放的就是函数的返回值,直接将函数本身带入式子。
Phase_5
还是先看一下这一关的反汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41
0000000000401062 <phase_5>: 401062: 53 push %rbx 401063: 48 83 ec 20 sub $0x20,%rsp 401067: 48 89 fb mov %rdi,%rbx 40106a: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax 401071: 00 00 401073: 48 89 44 24 18 mov %rax,0x18(%rsp) 401078: 31 c0 xor %eax,%eax 40107a: e8 9c 02 00 00 callq 40131b <string_length> 40107f: 83 f8 06 cmp $0x6,%eax 401082: 74 4e je 4010d2 <phase_5+0x70> 401084: e8 b1 03 00 00 callq 40143a <explode_bomb> 401089: eb 47 jmp 4010d2 <phase_5+0x70> 40108b: 0f b6 0c 03 movzbl (%rbx,%rax,1),%ecx 40108f: 88 0c 24 mov %cl,(%rsp) 401092: 48 8b 14 24 mov (%rsp),%rdx 401096: 83 e2 0f and $0xf,%edx 401099: 0f b6 92 b0 24 40 00 movzbl 0x4024b0(%rdx),%edx 4010a0: 88 54 04 10 mov %dl,0x10(%rsp,%rax,1) 4010a4: 48 83 c0 01 add $0x1,%rax 4010a8: 48 83 f8 06 cmp $0x6,%rax 4010ac: 75 dd jne 40108b <phase_5+0x29> 4010ae: c6 44 24 16 00 movb $0x0,0x16(%rsp) 4010b3: be 5e 24 40 00 mov $0x40245e,%esi 4010b8: 48 8d 7c 24 10 lea 0x10(%rsp),%rdi 4010bd: e8 76 02 00 00 callq 401338 <strings_not_equal> 4010c2: 85 c0 test %eax,%eax 4010c4: 74 13 je 4010d9 <phase_5+0x77> 4010c6: e8 6f 03 00 00 callq 40143a <explode_bomb> 4010cb: 0f 1f 44 00 00 nopl 0x0(%rax,%rax,1) 4010d0: eb 07 jmp 4010d9 <phase_5+0x77> 4010d2: b8 00 00 00 00 mov $0x0,%eax 4010d7: eb b2 jmp 40108b <phase_5+0x29> 4010d9: 48 8b 44 24 18 mov 0x18(%rsp),%rax 4010de: 64 48 33 04 25 28 00 xor %fs:0x28,%rax 4010e5: 00 00 4010e7: 74 05 je 4010ee <phase_5+0x8c> 4010e9: e8 42 fa ff ff callq 400b30 <[email protected] > 4010ee: 48 83 c4 20 add $0x20,%rsp 4010f2: 5b pop %rbx 4010f3: c3 retq
首先判断所输入字符串的长度必须为6,否则“爆炸”。长度判断通过,跳转到0x4010d2,然后将eax置零,跳转到地址0x40108b,进行下面的判断。
其实这一段判断是一个循环体,可以尝试写伪代码如下:
1 2 3 4 5 6 7 8 9 10
eax = 0 ; for (; eax < 6 ; eax++) { rdx = rbx[rax] & 0xf ; edx = *(0x4024b0 + rdx); *(rsp + rax + 0x10 ) = edx; } if [(rsp + 0x10 ) == 0x40245e ] return 0 ; else Bomb!
就是逐个判断所输入字符串的字符,将其解析成为整型,然后作为下标去起始地址为0x4024b0找到对应的字符,逐个存入到起始地址为rsp+0x10的字符串对应下标位置,最终将该拼成的字符串与起始地址为0x40245e的字符串进行比较。
起始地址为0x4024b0所存储的字符串为“maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?”,起始地址为0x40245e的字符串为“flyers”,这六个字母在前一个字符串中对应的下标分别为“9 15 14 5 6 7”,十六进制为“0x9 0xf 0xe 0x5 0x6 0x7”,在可打印字符中找出低四位是这六个的按次序输入即可,所以可以得到一组答案为“9ON567”,验证通过。
Phase_6
这是最后一关了,还是先看它的反汇编代码,这一关的代码比较长:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88
00000000004010f4 <phase_6>: 4010f4: 41 56 push %r14 4010f6: 41 55 push %r13 4010f8: 41 54 push %r12 4010fa: 55 push %rbp 4010fb: 53 push %rbx 4010fc: 48 83 ec 50 sub $0x50,%rsp 401100: 49 89 e5 mov %rsp,%r13 401103: 48 89 e6 mov %rsp,%rsi 401106: e8 51 03 00 00 callq 40145c <read_six_numbers> 40110b: 49 89 e6 mov %rsp,%r14 40110e: 41 bc 00 00 00 00 mov $0x0,%r12d 401114: 4c 89 ed mov %r13,%rbp 401117: 41 8b 45 00 mov 0x0(%r13),%eax 40111b: 83 e8 01 sub $0x1,%eax 40111e: 83 f8 05 cmp $0x5,%eax 401121: 76 05 jbe 401128 <phase_6+0x34> 401123: e8 12 03 00 00 callq 40143a <explode_bomb> 401128: 41 83 c4 01 add $0x1,%r12d 40112c: 41 83 fc 06 cmp $0x6,%r12d 401130: 74 21 je 401153 <phase_6+0x5f> 401132: 44 89 e3 mov %r12d,%ebx 401135: 48 63 c3 movslq %ebx,%rax 401138: 8b 04 84 mov (%rsp,%rax,4),%eax 40113b: 39 45 00 cmp %eax,0x0(%rbp) 40113e: 75 05 jne 401145 <phase_6+0x51> 401140: e8 f5 02 00 00 callq 40143a <explode_bomb> 401145: 83 c3 01 add $0x1,%ebx 401148: 83 fb 05 cmp $0x5,%ebx 40114b: 7e e8 jle 401135 <phase_6+0x41> 40114d: 49 83 c5 04 add $0x4,%r13 401151: eb c1 jmp 401114 <phase_6+0x20> 401153: 48 8d 74 24 18 lea 0x18(%rsp),%rsi 401158: 4c 89 f0 mov %r14,%rax 40115b: b9 07 00 00 00 mov $0x7,%ecx 401160: 89 ca mov %ecx,%edx 401162: 2b 10 sub (%rax),%edx 401164: 89 10 mov %edx,(%rax) 401166: 48 83 c0 04 add $0x4,%rax 40116a: 48 39 f0 cmp %rsi,%rax 40116d: 75 f1 jne 401160 <phase_6+0x6c> 40116f: be 00 00 00 00 mov $0x0,%esi 401174: eb 21 jmp 401197 <phase_6+0xa3> 401176: 48 8b 52 08 mov 0x8(%rdx),%rdx 40117a: 83 c0 01 add $0x1,%eax 40117d: 39 c8 cmp %ecx,%eax 40117f: 75 f5 jne 401176 <phase_6+0x82> 401181: eb 05 jmp 401188 <phase_6+0x94> 401183: ba d0 32 60 00 mov $0x6032d0,%edx 401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) 40118d: 48 83 c6 04 add $0x4,%rsi 401191: 48 83 fe 18 cmp $0x18,%rsi 401195: 74 14 je 4011ab <phase_6+0xb7> 401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx 40119a: 83 f9 01 cmp $0x1,%ecx 40119d: 7e e4 jle 401183 <phase_6+0x8f> 40119f: b8 01 00 00 00 mov $0x1,%eax 4011a4: ba d0 32 60 00 mov $0x6032d0,%edx 4011a9: eb cb jmp 401176 <phase_6+0x82> 4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx 4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax 4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi 4011ba: 48 89 d9 mov %rbx,%rcx 4011bd: 48 8b 10 mov (%rax),%rdx 4011c0: 48 89 51 08 mov %rdx,0x8(%rcx) 4011c4: 48 83 c0 08 add $0x8,%rax 4011c8: 48 39 f0 cmp %rsi,%rax 4011cb: 74 05 je 4011d2 <phase_6+0xde> 4011cd: 48 89 d1 mov %rdx,%rcx 4011d0: eb eb jmp 4011bd <phase_6+0xc9> 4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx) 4011d9: 00 4011da: bd 05 00 00 00 mov $0x5,%ebp 4011df: 48 8b 43 08 mov 0x8(%rbx),%rax 4011e3: 8b 00 mov (%rax),%eax 4011e5: 39 03 cmp %eax,(%rbx) 4011e7: 7d 05 jge 4011ee <phase_6+0xfa> 4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb> 4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx 4011f2: 83 ed 01 sub $0x1,%ebp 4011f5: 75 e8 jne 4011df <phase_6+0xeb> 4011f7: 48 83 c4 50 add $0x50,%rsp 4011fb: 5b pop %rbx 4011fc: 5d pop %rbp 4011fd: 41 5c pop %r12 4011ff: 41 5d pop %r13 401201: 41 5e pop %r14 401203: c3 retq
首先读入六个数字,起始地址在寄存器rsp中。代码的第一部分是一个嵌套循环体:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
40110e: 41 bc 00 00 00 00 mov $0x0,%r12d 401114: 4c 89 ed mov %r13,%rbp 401117: 41 8b 45 00 mov 0x0(%r13),%eax 40111b: 83 e8 01 sub $0x1,%eax 40111e: 83 f8 05 cmp $0x5,%eax 401121: 76 05 jbe 401128 <phase_6+0x34> 401123: e8 12 03 00 00 callq 40143a <explode_bomb> 401128: 41 83 c4 01 add $0x1,%r12d 40112c: 41 83 fc 06 cmp $0x6,%r12d 401130: 74 21 je 401153 <phase_6+0x5f> 401132: 44 89 e3 mov %r12d,%ebx 401135: 48 63 c3 movslq %ebx,%rax 401138: 8b 04 84 mov (%rsp,%rax,4),%eax 40113b: 39 45 00 cmp %eax,0x0(%rbp) 40113e: 75 05 jne 401145 <phase_6+0x51> 401140: e8 f5 02 00 00 callq 40143a <explode_bomb> 401145: 83 c3 01 add $0x1,%ebx 401148: 83 fb 05 cmp $0x5,%ebx 40114b: 7e e8 jle 401135 <phase_6+0x41> 40114d: 49 83 c5 04 add $0x4,%r13 401151: eb c1 jmp 401114 <phase_6+0x20>
翻译成为伪代码是:
1 2 3 4 5 6 7 8 9
for (i = 0 ; i < 6 ; i++) { if (input[i] > 6 && input[i] <= 0 ) bomb! for (j = i + 1 ; j < 6 ; j++) { if (input[j] == input[i]) bomb! } }
第一个数字不能大于6且必须大于0,否则为0减一将是一个非常大的数,而且每个数字都不能一样。
后面又是一个循环体,反汇编代码如下
1 2 3 4 5 6 7 8
401158: 4c 89 f0 mov %r14,%rax 40115b: b9 07 00 00 00 mov $0x7,%ecx 401160: 89 ca mov %ecx,%edx 401162: 2b 10 sub (%rax),%edx 401164: 89 10 mov %edx,(%rax) 401166: 48 83 c0 04 add $0x4,%rax 40116a: 48 39 f0 cmp %rsi,%rax 40116d: 75 f1 jne 401160 <phase_6+0x6c>
翻译成为伪代码如下:
1 2 3 4
while (rax != NULL ) { *rax = 7 - *rax; rax += 4 ; }
接下来这一部分是以刚才所得到的数字为序号,将一些地址存入起始地址为rsp+0x20的内存位置。这些地址的起始位置为0x6032d0,步长为8,序号为1则存入的地址为0x6032d0 + 0 8 = 0x6032d0,序号为5则存入的地址为0x6032d0 + 4 8 = 0x6032f0。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
40116f: be 00 00 00 00 mov $0x0,%esi 401174: eb 21 jmp 401197 <phase_6+0xa3> 401176: 48 8b 52 08 mov 0x8(%rdx),%rdx 40117a: 83 c0 01 add $0x1,%eax 40117d: 39 c8 cmp %ecx,%eax 40117f: 75 f5 jne 401176 <phase_6+0x82> 401181: eb 05 jmp 401188 <phase_6+0x94> 401183: ba d0 32 60 00 mov $0x6032d0,%edx 401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) 40118d: 48 83 c6 04 add $0x4,%rsi 401191: 48 83 fe 18 cmp $0x18,%rsi 401195: 74 14 je 4011ab <phase_6+0xb7> 401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx 40119a: 83 f9 01 cmp $0x1,%ecx 40119d: 7e e4 jle 401183 <phase_6+0x8f> 40119f: b8 01 00 00 00 mov $0x1,%eax 4011a4: ba d0 32 60 00 mov $0x6032d0,%edx 4011a9: eb cb jmp 401176 <phase_6+0x82>
再接下来一部分是组建线性表,将刚才存入的那些地址按照线性表的形式组织起来,前后相连。
1 2 3 4 5 6 7 8 9 10 11 12
4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx 4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax 4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi 4011ba: 48 89 d9 mov %rbx,%rcx 4011bd: 48 8b 10 mov (%rax),%rdx 4011c0: 48 89 51 08 mov %rdx,0x8(%rcx) # 将第一项的后继指针指向第二项 4011c4: 48 83 c0 08 add $0x8,%rax 4011c8: 48 39 f0 cmp %rsi,%rax 4011cb: 74 05 je 4011d2 <phase_6+0xde> 4011cd: 48 89 d1 mov %rdx,%rcx 4011d0: eb eb jmp 4011bd <phase_6+0xc9> 4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx) #
最后一项后面是空指针
最后一部分是比较线性表中数据的排序,需要按照降序排列。
1 2 3 4 5 6 7 8 9
4011da: bd 05 00 00 00 mov $0x5,%ebp 4011df: 48 8b 43 08 mov 0x8(%rbx),%rax # 取后一项的地址 4011e3: 8b 00 mov (%rax),%eax # 取后一项的值 4011e5: 39 03 cmp %eax,(%rbx) # 前一项与后一项进行比较 4011e7: 7d 05 jge 4011ee <phase_6+0xfa> # 降序 4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb> 4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx 4011f2: 83 ed 01 sub $0x1,%ebp 4011f5: 75 e8 jne 4011df <phase_6+0xeb>
现在我们可以得出:需要根据我们输入的值,经过一次转换,作为线性表的序号,使得它们是按照降序排列的,那现在我们先看一下从0x6032d0开始,那些地址指向的值是什么。
1 2 3 4 5 6 7 8 9 10 11 12 13 14
(gdb) p/x *0x6032d0 $1 = 0x14c (gdb) p/x *0x6032e0 $2 = 0xa8 (gdb) p/x *0x6032f0 $3 = 0x39c (gdb) p/x *0x603300 $4 = 0x2b3 (gdb) p/x *0x603310 $5 = 0x1dd (gdb) p/x *0x603320 $6 = 0x1bb (gdb) p/x *0x603330 $7 = 0x0
它们的大小顺序为“0x39c > 0x2b3 > 0x1dd > 0x1bb > 0x14c > 0xa8”,对应的序号为“3 4 5 6 1 2”,因为每一项被7减过一次,得到的结果就是“4 3 2 1 6 5”,验证通过。
secret_phase
做到上面那一步,整个过程就可以结束了,程序正常结束。但是看程序的反汇编代码,可以看到有一个secret_phase函数,这是作为一个隐藏关卡的,那我们干脆一鼓作气,将整个隐藏关卡也拿下。
函数secret_phase的触发是有条件的,我们首先可以根据字符串搜索发现,它是在函数phase_defused中调用的,那我们先看该函数何时才会触发隐藏关卡。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
00000000004015c4 <phase_defused>: 4015c4: 48 83 ec 78 sub $0x78,%rsp 4015c8: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax 4015cf: 00 00 4015d1: 48 89 44 24 68 mov %rax,0x68(%rsp) 4015d6: 31 c0 xor %eax,%eax 4015d8: 83 3d 81 21 20 00 06 cmpl $0x6,0x202181(%rip) # 603760 <num_input_strings> 4015df: 75 5e jne 40163f <phase_defused+0x7b> 4015e1: 4c 8d 44 24 10 lea 0x10(%rsp),%r8 4015e6: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 4015eb: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 4015f0: be 19 26 40 00 mov $0x402619,%esi 4015f5: bf 70 38 60 00 mov $0x603870,%edi 4015fa: e8 f1 f5 ff ff callq 400bf0 <[email protected] > 4015ff: 83 f8 03 cmp $0x3,%eax 401602: 75 31 jne 401635 <phase_defused+0x71> 401604: be 22 26 40 00 mov $0x402622,%esi 401609: 48 8d 7c 24 10 lea 0x10(%rsp),%rdi 40160e: e8 25 fd ff ff callq 401338 <strings_not_equal> 401613: 85 c0 test %eax,%eax 401615: 75 1e jne 401635 <phase_defused+0x71> 401617: bf f8 24 40 00 mov $0x4024f8,%edi 40161c: e8 ef f4 ff ff callq 400b10 <[email protected] > 401621: bf 20 25 40 00 mov $0x402520,%edi 401626: e8 e5 f4 ff ff callq 400b10 <[email protected] > 40162b: b8 00 00 00 00 mov $0x0,%eax 401630: e8 0d fc ff ff callq 401242 <secret_phase> 401635: bf 58 25 40 00 mov $0x402558,%edi 40163a: e8 d1 f4 ff ff callq 400b10 <[email protected] > 40163f: 48 8b 44 24 68 mov 0x68(%rsp),%rax 401644: 64 48 33 04 25 28 00 xor %fs:0x28,%rax 40164b: 00 00 40164d: 74 05 je 401654 <phase_defused+0x90> 40164f: e8 dc f4 ff ff callq 400b30 <[email protected] > 401654: 48 83 c4 78 add $0x78,%rsp 401658: c3 retq
我们可以看到,直到前面六个关卡完全完成,判断条件cmpl $0x6,0x202181(%rip)才会通过,后面调用函数sscanf将地址为0x603870的字符串尝试解析成为两个整型和一个字符串(地址0x402619存储的格式化字符串为“%d %d %s”)。然后将第三个字符串与地址0x402622存储的字符串(“DrEvil”)比较,相等的话就可以触发隐藏关卡。通过使用gdb调试发现,地址0x603870存储的字符串就是我们通过第四关时候的输入的字符串,给之前我们的答案后面加上一个字符串“DrEvil”便能够触发隐藏关卡。
触发了隐藏关卡后,我们来看一下隐藏关卡secret_phase的反汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
0000000000401242 <secret_phase>: 401242: 53 push %rbx 401243: e8 56 02 00 00 callq 40149e <read_line> 401248: ba 0a 00 00 00 mov $0xa,%edx 40124d: be 00 00 00 00 mov $0x0,%esi 401252: 48 89 c7 mov %rax,%rdi 401255: e8 76 f9 ff ff callq 400bd0 <[email protected] > 40125a: 48 89 c3 mov %rax,%rbx 40125d: 8d 40 ff lea -0x1(%rax),%eax 401260: 3d e8 03 00 00 cmp $0x3e8,%eax 401265: 76 05 jbe 40126c <secret_phase+0x2a> 401267: e8 ce 01 00 00 callq 40143a <explode_bomb> 40126c: 89 de mov %ebx,%esi 40126e: bf f0 30 60 00 mov $0x6030f0,%edi 401273: e8 8c ff ff ff callq 401204 <fun7> 401278: 83 f8 02 cmp $0x2,%eax 40127b: 74 05 je 401282 <secret_phase+0x40> 40127d: e8 b8 01 00 00 callq 40143a <explode_bomb> 401282: bf 38 24 40 00 mov $0x402438,%edi 401287: e8 84 f8 ff ff callq 400b10 <[email protected] > 40128c: e8 33 03 00 00 callq 4015c4 <phase_defused> 401291: 5b pop %rbx
首先读入一个字符串,调用函数strtol将输入字符串中的数字转换为10(0xa)进制长整型数字。这个数字减1之后必须小于1000(0x3e8),其实这两行汇编的意思是该数字需要大于0,小于等于1001。
然后将该数字作为参数传给函数func7,那还是先看一下其汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
0000000000401204 <fun7>: 401204: 48 83 ec 08 sub $0x8,%rsp 401208: 48 85 ff test %rdi,%rdi 40120b: 74 2b je 401238 <fun7+0x34> 40120d: 8b 17 mov (%rdi),%edx 40120f: 39 f2 cmp %esi,%edx 401211: 7e 0d jle 401220 <fun7+0x1c> 401213: 48 8b 7f 08 mov 0x8(%rdi),%rdi 401217: e8 e8 ff ff ff callq 401204 <fun7> 40121c: 01 c0 add %eax,%eax 40121e: eb 1d jmp 40123d <fun7+0x39> 401220: b8 00 00 00 00 mov $0x0,%eax 401225: 39 f2 cmp %esi,%edx 401227: 74 14 je 40123d <fun7+0x39> 401229: 48 8b 7f 10 mov 0x10(%rdi),%rdi 40122d: e8 d2 ff ff ff callq 401204 <fun7> 401232: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax 401236: eb 05 jmp 40123d <fun7+0x39> 401238: b8 ff ff ff ff mov $0xffffffff,%eax 40123d: 48 83 c4 08 add $0x8,%rsp 401241: c3 retq
这个函数又是一个递归函数,尝试写出其伪代码如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
func7 (rdi, rsi) { if (rdi == NULL ) return -1 ; edx = *rdi; if (edx <= esi) { eax = 0 ; if (edx == esi) return eax; else return 2 * func7(rdi + 0x10 , rsi) + 1 ; } else { return 2 * func7(rdi + 0x8 , rsi); } }
与分析函数func4的方法类似,但是此处需要返回值为2,那么最后返回值肯定是2*a,这里啊要等于1,那么再往深走一层要等于返回2*a + 1,这里的a需要为0,那么再深一层要返回0;这样最理想的情况是只需要递归三层即可。以下是起始地址开始指向的一些数值:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
(gdb) p/d *0x6030f0 $2 = 36 (gdb) p/x *0x6030f8 $12 = 0x603110 (gdb) p/x *0x6030f8 $13 = 0x603110 (gdb) p/x *0x603110 $14 = 0x8 (gdb) p/x *0x603100 $15 = 0x603130 (gdb) p/x *0x603130 $16 = 0x32 (gdb) p/d *0x603130 $17 = 50 (gdb) p/x *0x603108 $18 = 0x0 (gdb) p/x *0x603110 $19 = 0x8 (gdb) p/x *0x603118 $20 = 0x603190 (gdb) p/x *0x603190 $21 = 0x6 (gdb) p/x *0x603120 $22 = 0x603150 (gdb) p/x *0x603150 $23 = 0x16
最开始的rdi是36,走下面那一层需要比36小,然后rdi变为*0x6030f8,即0x603110,它指向的值为8,要想走上面那一层需要比8大,rdi改为*0x603120,即0x603150,它指向的值为0x16,即22,再往深一层需要它返回0,那么我们直接输入数字22即可,而且恰好满足这些条件,那么答案就是22。
不走心的总结
至此,所有的关卡全部通过。
通过这个实验,一是巩固了对于汇编代码的阅读能力(尤其是对一些常见的控制结构进行辨别),二是掌握了许多gdb调试的基本指令和技巧。
参考资料
http://blog.csdn.net/thev/article/details/46842337 http://blog.csdn.net/xzz_hust/article/details/8836298 http://www.cnblogs.com/yhjoker/p/7246567.html
近期评论