CSAPP实验之BombLab

前言

“二进制炸弹”是作为目标代码文件提供给学生的程序。运行时,它提示用户键入6个不同的字符串。如果这些中的任何一个是不正确的,炸弹“爆炸”,打印一个错误消息。我们必须通过拆卸和反向工程来确定6个字符串应该是什么,来“消除”自己独特的炸弹。本实验的主要目的是熟悉汇编语言,并强制学习如何使用调试器。
本实验详细项目文件以及分析解决方案参见BombLab,下载实验代码,解压,进入工作目录,下面进入惊险刺激的的破译之旅。

基本知识

寄存器基本使用规律

1
2
3
4
%rbp %rbx %r12~%15 被调用者保存寄存器
%r10 %r11 调用者保存寄存器
%rax 保存函数返回值
%rdi %rsi %rdx %rcx %r8 %r9 依次保存函数参数1~6

汇编指令阅读

指令编写方式:指令名 源操作数 目的操作数源操作数和目的操作数不能同时都为内存单元
对于源操作数和目的操作数中,除lea指令外,其他包含括号的指令均为访问对应的内存单元的值,在C语言中,可以将该变量视为指针变量。
cmp指令使用目的操作数-源操作数,test指令使用目的操作数&源操作数,接下来的条件指令根据命令规则进行跳转。

栈示意图

在一个函数栈帧中,首先将被调用者保存寄存器中的值入栈,因为在被调用函数中,会使用上述寄存器,因此需要保存,并在函数返回时,按照与入栈相反顺序重新出栈;然后再保存函数中局部变量;最后,如果调用函数的参数多于6个,还需要按照从右至左顺序构造调用函数剩余的参数,栈示意图如下图所示。

![avatar](https://gitee.com/zhoulee/blog-images/raw/master/stack_memory.png)
## gdb基本调试命令
![avatar](https://gitee.com/zhoulee/blog-images/raw/master/gdb.jpg)
在gdb调式过程中,可以使用`help`命令查看对应的帮助信息,例如`help x`查看`x`命令的使用方式。

phase_1

首先,在solutions.txt文件中输入任意字符串;然后使用gdb命令gdb ./bomb进入gdb调试,在gdb中使用set args ./solutions设置破解密码保存文件名;最后,使用break phase_1命令设置断点,运行程序。程序将在phase_1处进入断点,使用disas phase_1反汇编phase_1获得对应的汇编代码如下:

1
2
3
4
5
6
7
8
9
10
11
(gdb) disas phase_1
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>: sub    $0x8,%rsp
   0x0000000000400ee4 <+4>: mov    $0x402400,%esi                 将立即数0x402400复制到%esi
   0x0000000000400ee9 <+9>: callq  0x401338 <strings_not_equal>   比较从地址0x402400开始的字符串和读入的指向的字符串值%rdi是否相等
   0x0000000000400eee <+14>:    test   %eax,%eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
   0x0000000000400ef2 <+18>:    callq  0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    $0x8,%rsp
   0x0000000000400efb <+27>:    retq
End of assembler dump.

根据寄存器使用规则,可知%rdi保存输入字符串,%esi保存strings_not_equal函数第二个参数内容。另外,从函数名称可以该函数比较两个字符串是否相等。

在GDB中使用x/s 0x402400查看0x402400内存单元中字符串的内容,从而获得密码

1
2
(gdb) x/s 0x402400
0x402400:	"Border relations with Canada have never been better."

phase_2

在phase_2函数处设置断点,然后反汇编phase_2函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
(gdb) disas phase_2
Dump of assembler code for function phase_2:
   0x0000000000400efc <+0>: push   %rbp
   0x0000000000400efd <+1>: push   %rbx
   0x0000000000400efe <+2>: sub    $0x28,%rsp
   0x0000000000400f02 <+6>: mov    %rsp,%rsi
   0x0000000000400f05 <+9>: callq  0x40145c <read_six_numbers>  读入6个值,保存至从%rsi开始的地址
   0x0000000000400f0a <+14>:    cmpl   $0x1,(%rsp)              读入第一个值是否等于1
   0x0000000000400f0e <+18>:    je     0x400f30 <phase_2+52>
   0x0000000000400f10 <+20>:    callq  0x40143a <explode_bomb>
   0x0000000000400f15 <+25>:    jmp    0x400f30 <phase_2+52>
   0x0000000000400f17 <+27>:    mov    -0x4(%rbx),%eax          %eax保存前一个值
   0x0000000000400f1a <+30>:    add    %eax,%eax                将前一个值乘以2
   0x0000000000400f1c <+32>:    cmp    %eax,(%rbx)              判断后一个的值是否为前一个值的2
   0x0000000000400f1e <+34>:    je     0x400f25 <phase_2+41>
   0x0000000000400f20 <+36>:    callq  0x40143a <explode_bomb>
   0x0000000000400f25 <+41>:    add    $0x4,%rbx                %rbx获取下一个值的地址
   0x0000000000400f29 <+45>:    cmp    %rbp,%rbx                比较是否为最后一个值
   0x0000000000400f2c <+48>:    jne    0x400f17 <phase_2+27>
   0x0000000000400f2e <+50>:    jmp    0x400f3c <phase_2+64>
   0x0000000000400f30 <+52>:    lea    0x4(%rsp),%rbx           %rbx获得第二个值地址开始地址
   0x0000000000400f35 <+57>:    lea    0x18(%rsp),%rbp          %rbp获得最后一个值地址结束地址
   0x0000000000400f3a <+62>:    jmp    0x400f17 <phase_2+27>
   0x0000000000400f3c <+64>:    add    $0x28,%rsp
   0x0000000000400f40 <+68>:    pop    %rbx
   0x0000000000400f41 <+69>:    pop    %rbp
   0x0000000000400f42 <+70>:    retq
End of assembler dump.

phase_2函数中调用read_six_numbers函数从输入中读入输入,所以继续反汇编出read_six_numbers函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
(gdb) disas read_six_numbers
Dump of assembler code for function read_six_numbers:
   0x000000000040145c <+0>: sub    $0x18,%rsp
   0x0000000000401460 <+4>: mov    %rsi,%rdx
   0x0000000000401463 <+7>: lea    0x4(%rsi),%rcx
   0x0000000000401467 <+11>:    lea    0x14(%rsi),%rax
   0x000000000040146b <+15>:    mov    %rax,0x8(%rsp)
   0x0000000000401470 <+20>:    lea    0x10(%rsi),%rax
   0x0000000000401474 <+24>:    mov    %rax,(%rsp)
   0x0000000000401478 <+28>:    lea    0xc(%rsi),%r9
   0x000000000040147c <+32>:    lea    0x8(%rsi),%r8
   0x0000000000401480 <+36>:    mov    $0x4025c3,%esi
   0x0000000000401485 <+41>:    mov    $0x0,%eax
   0x000000000040148a <+46>:    callq  0x400bf0 <__isoc99_sscanf@plt>
   0x000000000040148f <+51>:    cmp    $0x5,%eax
   0x0000000000401492 <+54>:    jg     0x401499 <read_six_numbers+61>
   0x0000000000401494 <+56>:    callq  0x40143a <explode_bomb>
   0x0000000000401499 <+61>:    add    $0x18,%rsp
   0x000000000040149d <+65>:    retq
End of assembler dump.

在gdb中使用x/s 0x4025c3查看输入格式化字符串为:

1
2
(gdb) x/s 0x4025c3
0x4025c3:	"%d %d %d %d %d %d"

因此,phase_2函数调用read_six_numbers函数读入6个整型数据,。另外,从read_six_numbers调用sscanf函数前构造函数参数代码可知

1
2
3
4
5
6
7
%rsi:保存phase_2栈帧的局部变量开始地址
%rdx:指向%rsi + 0,即第一个读入参数地址,以下依照4Byte递增,依次保存2~6个局部变量地址
%rcx:%rsi + 4
%r8:%rsi + 8
%r9:%rsi + 12
(%rsp):%rsi + 16
8(%rsp):%rsi + 20

phase_2函数反汇编代码中,详细注释了每一个汇编语句的含义,很容易知道,该函数循环判断读入的数字中后一个数是否为前一个数的2倍,并且读入的第1个数必须为1。因此phase_2函数的破解密码为1 2 4 8 16 32

phase_3

phase_3函数的反汇编代码和详细注释如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
(gdb) disas phase_3
Dump of assembler code for function phase_3:
   0x0000000000400f43 <+0>: sub    $0x18,%rsp
   0x0000000000400f47 <+4>: lea    0xc(%rsp),%rcx               %rcx第2个参数地址
   0x0000000000400f4c <+9>: lea    0x8(%rsp),%rdx               %rdx第1个参数地址
   0x0000000000400f51 <+14>:    mov    $0x4025cf,%esi
   0x0000000000400f56 <+19>:    mov    $0x0,%eax
   0x0000000000400f5b <+24>:    callq  0x400bf0 <__isoc99_sscanf@plt>
   0x0000000000400f60 <+29>:    cmp    $0x1,%eax                输入参数个数是否大于1
   0x0000000000400f63 <+32>:    jg     0x400f6a <phase_3+39>
   0x0000000000400f65 <+34>:    callq  0x40143a <explode_bomb>  输入参数个数小于等于1,调用explode_bomb
   0x0000000000400f6a <+39>:    cmpl   $0x7,0x8(%rsp)           将第一个参数转换成无符号后,再判断是否大于7
   0x0000000000400f6f <+44>:    ja     0x400fad <phase_3+106>   第一个参数大于7,调用explode_bomb
   0x0000000000400f71 <+46>:    mov    0x8(%rsp),%eax           将第一个参数值复制到%eax
   0x0000000000400f75 <+50>:    jmpq   *0x402470(,%rax,8)       switch语句跳转表,使用x/1xg 0x402470命令查看当%rax的值为0时跳转地址为 0x0000000000400f7c
   0x0000000000400f7c <+57>:    mov    $0xcf,%eax               将%eax的值设置为207
   0x0000000000400f81 <+62>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f83 <+64>:    mov    $0x2c3,%eax
   0x0000000000400f88 <+69>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f8a <+71>:    mov    $0x100,%eax
   0x0000000000400f8f <+76>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f91 <+78>:    mov    $0x185,%eax
   0x0000000000400f96 <+83>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f98 <+85>:    mov    $0xce,%eax
   0x0000000000400f9d <+90>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f9f <+92>:    mov    $0x2aa,%eax
   0x0000000000400fa4 <+97>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400fa6 <+99>:    mov    $0x147,%eax
   0x0000000000400fab <+104>:   jmp    0x400fbe <phase_3+123>
   0x0000000000400fad <+106>:   callq  0x40143a <explode_bomb>
   0x0000000000400fb2 <+111>:   mov    $0x0,%eax
   0x0000000000400fb7 <+116>:   jmp    0x400fbe <phase_3+123>
   0x0000000000400fb9 <+118>:   mov    $0x137,%eax
   0x0000000000400fbe <+123>:   cmp    0xc(%rsp),%eax          比较%eax值是否和输入第二个参数相等
   0x0000000000400fc2 <+127>:   je     0x400fc9 <phase_3+134>  不相等,则调用explode_bomb
   0x0000000000400fc4 <+129>:   callq  0x40143a <explode_bomb>
   0x0000000000400fc9 <+134>:   add    $0x18,%rsp
   0x0000000000400fcd <+138>:   retq
End of assembler dump.

其中关键在于意识到0x0000000000400f81地址的代码为switch语句的跳转表,能否破解关卡的密码在于输入的两个参数中第一个参数作为switch语句的参数,第2输入个参数是否和switch语句的返回值相等。因此,使用gdb查看0x402470开始的地址的内存单元的内容获得switch跳转表如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
(gdb) x/1xg 0x402470
0x402470:	0x0000000000400f7c
(gdb) x/1xg 0x402478
0x402478:	0x0000000000400fb9
(gdb) x/1xg 0x402480
0x402480:	0x0000000000400f83
(gdb) x/1xg 0x402488
0x402488:	0x0000000000400f8a
(gdb) x/1xg 0x402490
0x402490:	0x0000000000400f91
(gdb) x/1xg 0x402498
0x402498:	0x0000000000400f98
(gdb) x/1xg 0x4024a0
0x4024a0:	0x0000000000400f9f
(gdb) x/1xg 0x4024a8
0x4024a8:	0x0000000000400fa6

由跳转表从而获得switch语句返回值如下:

1
2
3
4
5
6
7
8
9
%rax(输入参数1)       跳转地址            0xc(%rsp)(输入参数2)
0               0x0000000000400f7c       0xcf  207
1               0x0000000000400fb9       0x137 311
2               0x0000000000400f83       0x2c3 707
3               0x0000000000400f8a       0x100 256
4               0x0000000000400f91       0x185 389
5               0x0000000000400f98       0xce  206
6               0x0000000000400f9f       0x2aa 682
7               0x0000000000400fa6       0x147 327

所以,phase_3函数的破解密码存在上述多组。

phase_4

phase_4函数的反汇编代码和详细注释如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Dump of assembler code for function phase_4:
   0x000000000040100c <+0>: sub    $0x18,%rsp                    分配栈空间
   0x0000000000401010 <+4>: lea    0xc(%rsp),%rcx                为调用scanf函数构造参数,对应scanf第二个参数
   0x0000000000401015 <+9>: lea    0x8(%rsp),%rdx                为调用scanf函数构造参数,对应scanf第一个参数
   0x000000000040101a <+14>:    mov    $0x4025cf,%esi            %esi存储scanf函数格式化字符串 gdb中使用 x /s 0x4025cf查看格式化字符串
   0x000000000040101f <+19>:    mov    $0x0,%eax                 %eax保存scanf函数返回值

   0x0000000000401024 <+24>:    callq  0x400bf0 <__isoc99_sscanf@plt>  调用scanf参数

   0x0000000000401029 <+29>:    cmp    $0x2,%eax                 判断输入参数个数是否等于2
   0x000000000040102c <+32>:    jne    0x401035 <phase_4+41>     输入参数个数不等于2,调用explode_bomb
   0x000000000040102e <+34>:    cmpl   $0xe,0x8(%rsp)            判断输入第一个参数与0xe的大小
   0x0000000000401033 <+39>:    jbe    0x40103a <phase_4+46>     第一个参数小于等于0xe跳转
   0x0000000000401035 <+41>:    callq  0x40143a <explode_bomb>   第一个参数大于0xe调用explode_bomb

   0x000000000040103a <+46>:    mov    $0xe,%edx                 为调用func4构造参数c,参数值为0xe
   0x000000000040103f <+51>:    mov    $0x0,%esi                 为调用func4构造参数b,参数值为0x0
   0x0000000000401044 <+56>:    mov    0x8(%rsp),%edi            为调用func4构造参数a,参数值为输入第一个参数值
   0x0000000000401048 <+60>:    callq  0x400fce <func4>          调用func4

   0x000000000040104d <+65>:    test   %eax,%eax                 测试func4返回值是否等于0
   0x000000000040104f <+67>:    jne    0x401058 <phase_4+76>     等于0继续执行,否则调用explode_bomb
   0x0000000000401051 <+69>:    cmpl   $0x0,0xc(%rsp)            测试输入第二个参数是否等于0
   0x0000000000401056 <+74>:    je     0x40105d <phase_4+81>     等于0,跳转;否则调用explode_bomb
   0x0000000000401058 <+76>:    callq  0x40143a <explode_bomb>
   0x000000000040105d <+81>:    add    $0x18,%rsp
   0x0000000000401061 <+85>:    retq
End of assembler dump.

phase_4函数中要求func4函数的返回值等于0,并且func4函数的参数为:第一个输入数,0,14。func4函数反汇编代码如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Dump of assembler code for function func4:
   0x0000000000400fce <+0>: sub    $0x8,%rsp
   0x0000000000400fd2 <+4>: mov    %edx,%eax                   result = c
   0x0000000000400fd4 <+6>: sub    %esi,%eax                   result = result - b
   0x0000000000400fd6 <+8>: mov    %eax,%ecx                   tmp = result
   0x0000000000400fd8 <+10>:    shr    $0x1f,%ecx              tmp = (unsigned)tmp >> 31
   0x0000000000400fdb <+13>:    add    %ecx,%eax               result = result + tmp
   0x0000000000400fdd <+15>:    sar    %eax                    result = result / 2
   0x0000000000400fdf <+17>:    lea    (%rax,%rsi,1),%ecx      tmp = result + b
   0x0000000000400fe2 <+20>:    cmp    %edi,%ecx   tmp <= a    
   0x0000000000400fe4 <+22>:    jle    0x400ff2 <func4+36>     
   0x0000000000400fe6 <+24>:    lea    -0x1(%rcx),%edx         c =  tmp - 1
   0x0000000000400fe9 <+27>:    callq  0x400fce <func4>        
   0x0000000000400fee <+32>:    add    %eax,%eax               
   0x0000000000400ff0 <+34>:    jmp    0x401007 <func4+57>     
   0x0000000000400ff2 <+36>:    mov    $0x0,%eax               result = 0
   0x0000000000400ff7 <+41>:    cmp    %edi,%ecx               tmp >= a
   0x0000000000400ff9 <+43>:    jge    0x401007 <func4+57>     
   0x0000000000400ffb <+45>:    lea    0x1(%rcx),%esi          b = tmp + 1
   0x0000000000400ffe <+48>:    callq  0x400fce <func4>
   0x0000000000401003 <+53>:    lea    0x1(%rax,%rax,1),%eax
   0x0000000000401007 <+57>:    add    $0x8,%rsp
   0x000000000040100b <+61>:    retq
End of assembler dump.

其中,%rdi %rsi %rdx依次保存第1,2,3个参数,分别对应于a b c;%eax表示返回值。另外定义局部变量int result, 保存在%rax作为返回值,定义局部变量int tmp,保存在%rcx。按照上述定义,获得func4函数对应的C语言代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
int func4(int a, int b, int c)
{
    int result;
    result = c;
    result = result - b;
    int tmp = result;
    tmp = (unsigned)tmp >> 31;
    result = result + tmp;
    result = result / 2;
    tmp = result + b;
    if(tmp > a)
    {
        c = tmp - 1;
        result = func4(a, b, c);
        return (2 * result);
    }
    result = 0;
    if(tmp < a)
    {
        b = tmp + 1;
        result = func4(a, b, c);
        return (1 + 2 * result);
    }
    return result;
}

使用如下的测试程序,获得所有满足phase_4函数的破解密码:

1
2
3
4
5
6
7
8
9
10
11
12
int main()
{
    for(int input = 0; input < 15; ++input)
    {
        int result = func4(input, 0, 14);
        if(result == 0)
        {
            printf("input = %d, func4 = %d\n", input, result);
        }
    }
    return 0;
}

因此phase_4破译可能结果为:

1
2
3
4
0 0
1 0
3 0
7 0

phase_5

phase_5函数反汇编代码和详细注释如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
(gdb) disassemble phase_5
Dump of assembler code for function phase_5:
   0x0000000000401062 <+0>: push   %rbx
   0x0000000000401063 <+1>: sub    $0x20,%rsp
   0x0000000000401067 <+5>: mov    %rdi,%rbx                             %rdi保存输入的字符串指针
   0x000000000040106a <+8>: mov    %fs:0x28,%rax
   0x0000000000401073 <+17>:    mov    %rax,0x18(%rsp)                   将%rax存储到0x18(%rsp)

   0x0000000000401078 <+22>:    xor    %eax,%eax                         清零%eax
   0x000000000040107a <+24>:    callq  0x40131b <string_length>          计算输入字符串长度
   0x000000000040107f <+29>:    cmp    $0x6,%eax                         判断输入字符串长度是否等于6
   0x0000000000401082 <+32>:    je     0x4010d2 <phase_5+112>
   0x0000000000401084 <+34>:    callq  0x40143a <explode_bomb>

   0x0000000000401089 <+39>:    jmp    0x4010d2 <phase_5+112>
   0x000000000040108b <+41>:    movzbl (%rbx,%rax,1),%ecx                复制输入字符串的第%rax个字符到%ecx中
   0x000000000040108f <+45>:    mov    %cl,(%rsp)                        将第%rax字符保存至(%rsp)中
   0x0000000000401092 <+48>:    mov    (%rsp),%rdx                       将第%rax字符复制到%rdx中
   0x0000000000401096 <+52>:    and    $0xf,%edx                         将第%rax字符最低4bit复制到%rdx最低4bit
   0x0000000000401099 <+55>:    movzbl 0x4024b0(%rdx),%edx               将与0x4024b0偏移量为%rdx的一个字节数据复制到%edx
   0x00000000004010a0 <+62>:    mov    %dl,0x10(%rsp,%rax,1)             将%edx最低字节复制到与%rsp偏移量为(0x10 + %rax)的栈地址中
   0x00000000004010a4 <+66>:    add    $0x1,%rax                         %rax值加1,指向下一个输入字符
   0x00000000004010a8 <+70>:    cmp    $0x6,%rax                         判断%rax是否等于6,不等于6继续循环
   0x00000000004010ac <+74>:    jne    0x40108b <phase_5+41>
   0x00000000004010ae <+76>:    movb   $0x0,0x16(%rsp)
   0x00000000004010b3 <+81>:    mov    $0x40245e,%esi                    %esi指向从0x40245e内存单元读入的字符串
   0x00000000004010b8 <+86>:    lea    0x10(%rsp),%rdi                   %rdi指向前面循环中构造好的长度为6的字符串
   0x00000000004010bd <+91>:    callq  0x401338 <strings_not_equal>      判断%esi和%rdi指向的字符串是否相等
   0x00000000004010c2 <+96>:    test   %eax,%eax
   0x00000000004010c4 <+98>:    je     0x4010d9 <phase_5+119>
   0x00000000004010c6 <+100>:   callq  0x40143a <explode_bomb>
   0x00000000004010cb <+105>:   nopl   0x0(%rax,%rax,1)
   0x00000000004010d0 <+110>:   jmp    0x4010d9 <phase_5+119>
   0x00000000004010d2 <+112>:   mov    $0x0,%eax
   0x00000000004010d7 <+117>:   jmp    0x40108b <phase_5+41>
   0x00000000004010d9 <+119>:   mov    0x18(%rsp),%rax
   0x00000000004010de <+124>:   xor    %fs:0x28,%rax
   0x00000000004010e7 <+133>:   je     0x4010ee <phase_5+140>
   0x00000000004010e9 <+135>:   callq  0x400b30 <__stack_chk_fail@plt>
   0x00000000004010ee <+140>:   add    $0x20,%rsp
   0x00000000004010f2 <+144>:   pop    %rbx
   0x00000000004010f3 <+145>:   retq
End of assembler dump.

使用gdb查看0x4024b00x40245e开始的内存单元的内容:

1
2
3
4
5
(gdb) x/32xb 0x4024b0
0x4024b0 <array.3449>:      0x6d    0x61    0x64    0x75    0x69    0x65    0x72    0x73
0x4024b8 <array.3449+8>:    0x6e    0x66    0x6f    0x74    0x76    0x62    0x79    0x6c
(gdb) x/s 0x40245e
0x40245e:   "flyers"

flyers串对应的ascii值为0x66 0x6c 0x79 0x65 0x72 0x73,与0x4024b0内存地址开始的查找表比较获得偏移量为0x9 0xF 0xE 0x5 0x6 0x72。因此输入长度为6的字符串中每个字符的低4bit的值分别为0x9 0xF 0xE 0x5 0x6 0x72。所以,phase_5函数的破解密码存在两种情形:若输入为大写字母,将低4bit的值加上0x40,获得输入字符串IONEFG,若输入为小写字母,将低4bit的值加上0x60,获得输入字符串ionefg

phase_6

phase_6函数反汇编代码有点长,需要一点耐心去解读。熟悉整个流程下来,其实phase_6函数主要包含了4个循环过程。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
(gdb) disas phase_6
Dump of assembler code for function phase_6:
   0x00000000004010f4 <+0>: push   %r14                                将被调用者保存寄存器压入栈
   0x00000000004010f6 <+2>: push   %r13
   0x00000000004010f8 <+4>: push   %r12
   0x00000000004010fa <+6>: push   %rbp
   0x00000000004010fb <+7>: push   %rbx                                %rsp = 0x7fffffffe2c0
   0x00000000004010fc <+8>: sub    $0x50,%rsp                          分配栈空间 %rsp = 0x7fffffffe270
   0x0000000000401100 <+12>:    mov    %rsp,%r13

   0x0000000000401103 <+15>:    mov    %rsp,%rsi
   0x0000000000401106 <+18>:    callq  0x40145c <read_six_numbers>     读入6个值,保存至从 %rsi 开始的地址

   0x000000000040110b <+23>:    mov    %rsp,%r14
   0x000000000040110e <+26>:    mov    $0x0,%r12d                      %r12 置0,并且%r13 %r14 %rbp 均和 %rsp 指向相同地址 0x7fffffffe270

   0x0000000000401114 <+32>:    mov    %r13,%rbp
   0x0000000000401117 <+35>:    mov    0x0(%r13),%eax                  将第 %r13 指向的输入数复制到 %eax
   0x000000000040111b <+39>:    sub    $0x1,%eax                       将输入数减1
   0x000000000040111e <+42>:    cmp    $0x5,%eax                       判断输入数是否小于等于6,因为上一步中减1操作
   0x0000000000401121 <+45>:    jbe    0x401128 <phase_6+52>           若大于6,则调用 explode_bomb
   0x0000000000401123 <+47>:    callq  0x40143a <explode_bomb>
=========================================================================================================================================================
   0x0000000000401128 <+52>:    add    $0x1,%r12d                      将 %r12 加1
   0x000000000040112c <+56>:    cmp    $0x6,%r12d                      判断 %r12 是否等于6
   0x0000000000401130 <+60>:    je     0x401153 <phase_6+95>           若等于6,跳转,否则继续执行
   0x0000000000401132 <+62>:    mov    %r12d,%ebx                      将 %r12 复制到 %ebx

   0x0000000000401135 <+65>:    movslq %ebx,%rax                       将 %ebx 符号位扩展复制到 %rax
   0x0000000000401138 <+68>:    mov    (%rsp,%rax,4),%eax              将第 %ebx 输入数复制到 %eax
   0x000000000040113b <+71>:    cmp    %eax,0x0(%rbp)                  比较 %r13 指向的输入数和 第 %ebx 输入数 是否相等
   0x000000000040113e <+74>:    jne    0x401145 <phase_6+81>           如果相等,则调用 explode_bomb
   0x0000000000401140 <+76>:    callq  0x40143a <explode_bomb>
   0x0000000000401145 <+81>:    add    $0x1,%ebx                       将 %ebx 加1
   0x0000000000401148 <+84>:    cmp    $0x5,%ebx                       判断 %ebx 是否小于等于5
   0x000000000040114b <+87>:    jle    0x401135 <phase_6+65>           若小于等于,跳转,否则继续执行;该循环判断 %r13 指向的数据和其后输入数不相等

   0x000000000040114d <+89>:    add    $0x4,%r13                       将 %r13 指向下一个输入数,该循环判断所有的输入数全部不相等
   0x0000000000401151 <+93>:    jmp    0x401114 <phase_6+32>
=========================================================================================================================================================
   0x0000000000401153 <+95>:    lea    0x18(%rsp),%rsi                 将 %rsi 指向栈中跳过读入数据位置作为结束标记,并且 %r14 仍和 %rsp 指向同一个位置
   0x0000000000401158 <+100>:   mov    %r14,%rax                       将 %r14 复制到 %rax
   0x000000000040115b <+103>:   mov    $0x7,%ecx
   0x0000000000401160 <+108>:   mov    %ecx,%edx                       将立即数0x7复制到 %edx
   0x0000000000401162 <+110>:   sub    (%rax),%edx                     立即数7减去 %r14 指向的数据
   0x0000000000401164 <+112>:   mov    %edx,(%rax)                     将7减的结果存回 %r14 执行的内存单元
   0x0000000000401166 <+114>:   add    $0x4,%rax                       %rax 指向下一个输入数
   0x000000000040116a <+118>:   cmp    %rsi,%rax                       比较是否达到输入数组的末尾,
   0x000000000040116d <+121>:   jne    0x401160 <phase_6+108>          该循环使用立即数7减去每个输入数据
==========================================================================================================================================================
   0x000000000040116f <+123>:   mov    $0x0,%esi                       将 %rsi 置0
   0x0000000000401174 <+128>:   jmp    0x401197 <phase_6+163>

   0x0000000000401176 <+130>:   mov    0x8(%rdx),%rdx                  将 0x8(%rdx) 指向内存单元的内容复制到 %rdx, 指向链表下一个元素
   0x000000000040117a <+134>:   add    $0x1,%eax                       将 %eax 加1
   0x000000000040117d <+137>:   cmp    %ecx,%eax                       比较 %ecx 和 %eax 是否相等
   0x000000000040117f <+139>:   jne    0x401176 <phase_6+130>          不相等,继续遍历链表,最终 %rdx 指向链表的第 %ecx 个节点
   0x0000000000401181 <+141>:   jmp    0x401188 <phase_6+148>
   0x0000000000401183 <+143>:   mov    $0x6032d0,%edx                  重置链表首地址
   0x0000000000401188 <+148>:   mov    %rdx,0x20(%rsp,%rsi,2)
   0x000000000040118d <+153>:   add    $0x4,%rsi
   0x0000000000401191 <+157>:   cmp    $0x18,%rsi
   0x0000000000401195 <+161>:   je     0x4011ab <phase_6+183>

   0x0000000000401197 <+163>:   mov    (%rsp,%rsi,1),%ecx              将 (%rsp + %rsi) 指向的数据复制到 %ecx
   0x000000000040119a <+166>:   cmp    $0x1,%ecx                       比较 %ecx 是否小于等于1
   0x000000000040119d <+169>:   jle    0x401183 <phase_6+143>          若小于等于,跳转,否则继续执行, 等于1, %edx 直接指向链表首地址
   0x000000000040119f <+171>:   mov    $0x1,%eax                       将 %eax 置1
   0x00000000004011a4 <+176>:   mov    $0x6032d0,%edx                  将 %rdx 指向内存单元 0x6032d0
   0x00000000004011a9 <+181>:   jmp    0x401176 <phase_6+130>          跳转; 该循环根据输入数将链表中对应的第输入数个节点的地址复制到 0x20(%rsp) 开始的栈中
 ==========================================================================================================================================================
   0x00000000004011ab <+183>:   mov    0x20(%rsp),%rbx                 将0x20(%rsp)的链表节点地址复制到 %rbx
   0x00000000004011b0 <+188>:   lea    0x28(%rsp),%rax                 将 %rax 指向栈中下一个链表节点的地址
   0x00000000004011b5 <+193>:   lea    0x50(%rsp),%rsi                 将 %rsi 指向保存的链表节点地址的末尾
   0x00000000004011ba <+198>:   mov    %rbx,%rcx

   0x00000000004011bd <+201>:   mov    (%rax),%rdx
   0x00000000004011c0 <+204>:   mov    %rdx,0x8(%rcx)                  将栈中指向的后一个节点的地址复制到前一个节点的地址位置
   0x00000000004011c4 <+208>:   add    $0x8,%rax                       移动到下一个节点
   0x00000000004011c8 <+212>:   cmp    %rsi,%rax                       判断6个节点是否遍历完毕
   0x00000000004011cb <+215>:   je     0x4011d2 <phase_6+222>
   0x00000000004011cd <+217>:   mov    %rdx,%rcx
   0x00000000004011d0 <+220>:   jmp    0x4011bd <phase_6+201>
   0x00000000004011d2 <+222>:   movq   $0x0,0x8(%rdx)                  该循环按照7减去输入数据的索引重新调整链表
==========================================================================================================================================================
   0x00000000004011da <+230>:   mov    $0x5,%ebp
   0x00000000004011df <+235>:   mov    0x8(%rbx),%rax                  将 %rax 指向 %rbx 下一个链表节点
   0x00000000004011e3 <+239>:   mov    (%rax),%eax
   0x00000000004011e5 <+241>:   cmp    %eax,(%rbx)                     比较链表节点中第一个字段值的大小,如果前一个节点值大于后一个节点值,跳转
   0x00000000004011e7 <+243>:   jge    0x4011ee <phase_6+250>
   0x00000000004011e9 <+245>:   callq  0x40143a <explode_bomb>
   0x00000000004011ee <+250>:   mov    0x8(%rbx),%rbx                  将 %rbx 向后移动,指向栈中下一个链表节点的地址
   0x00000000004011f2 <+254>:   sub    $0x1,%ebp                       判断循环是否结束,该循环判断栈中重新调整后的链表节点是否按照降序排列
   0x00000000004011f5 <+257>:   jne    0x4011df <phase_6+235>
   0x00000000004011f7 <+259>:   add    $0x50,%rsp
   0x00000000004011fb <+263>:   pop    %rbx
   0x00000000004011fc <+264>:   pop    %rbp
   0x00000000004011fd <+265>:   pop    %r12
   0x00000000004011ff <+267>:   pop    %r13
   0x0000000000401201 <+269>:   pop    %r14
   0x0000000000401203 <+271>:   retq
End of assembler dump.

我们假设输入数据为4 3 2 1 6 5,并且猜测0x6032d8为链表首地址,链表中每个节点占用12个Byte,前8字节保存两个4字Byte的整型数,剩余的4Byte存放下个节点地址。
在第2个循环结束后,使用gdb查看使用7减去对应的输入后的数据:

1
2
3
4
5
(gdb) p /x $rsp
$1 = 0x7fffffffe270
(gdb) x/6dw 0x7fffffffe270
0x7fffffffe270: 3   4   5   6
0x7fffffffe280: 1   2

重新调整链表前的链表的结构:

1
2
3
4
5
6
7
(gdb) x/24xw 0x006032d0
0x6032d0 <node1>:   0x0000014c  0x00000001  0x006032e0  0x00000000
0x6032e0 <node2>:   0x000000a8  0x00000002  0x006032f0  0x00000000
0x6032f0 <node3>:   0x0000039c  0x00000003  0x00603300  0x00000000
0x603300 <node4>:   0x000002b3  0x00000004  0x00603310  0x00000000
0x603310 <node5>:   0x000001dd  0x00000005  0x00603320  0x00000000
0x603320 <node6>:   0x000001bb  0x00000006  0x00000000  0x00000000

保存在栈中链表节点信息:

1
2
3
4
(gdb) x/6xg 0x7fffffffe290
0x7fffffffe290: 0x00000000006032f0  0x0000000000603300
0x7fffffffe2a0: 0x0000000000603310  0x0000000000603320
0x7fffffffe2b0: 0x00000000006032d0  0x00000000006032e0

按照7减去对应的输入后重新调整链表后的链表结构索引顺序为3 4 5 6 1 2,对应的链表结构为:

1
2
3
4
5
6
7
(gdb) x/24xw 0x006032d0
0x6032d0 <node1>:   0x0000014c  0x00000001  0x006032e0  0x00000000
0x6032e0 <node2>:   0x000000a8  0x00000002  0x00000000  0x00000000
0x6032f0 <node3>:   0x0000039c  0x00000003  0x00603300  0x00000000
0x603300 <node4>:   0x000002b3  0x00000004  0x00603310  0x00000000
0x603310 <node5>:   0x000001dd  0x00000005  0x00603320  0x00000000
0x603320 <node6>:   0x000001bb  0x00000006  0x006032d0  0x00000000

因此,phase_6函数的破译过程为将链表中每个节点按照前4字节降序排序,降序的索引为3 4 5 6 1 2,因为在前面使用7减去对应的值,所以破解密码为4 3 2 1 6 5

secret_phase

在整个实验中,还隐藏了一个秘密关卡,秘密关卡的入口位于phase_defused函数中。因此,反汇编phase_defused函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Dump of assembler code for function phase_defused:
   0x00000000004015c4 <+0>: sub    $0x78,%rsp
   0x00000000004015c8 <+4>: mov    %fs:0x28,%rax
   0x00000000004015d1 <+13>:    mov    %rax,0x68(%rsp)
   0x00000000004015d6 <+18>:    xor    %eax,%eax
   0x00000000004015d8 <+20>:    cmpl   $0x6,0x202181(%rip)        # 0x603760 <num_input_strings>
   0x00000000004015df <+27>:    jne    0x40163f <phase_defused+123>
   0x00000000004015e1 <+29>:    lea    0x10(%rsp),%r8
   0x00000000004015e6 <+34>:    lea    0xc(%rsp),%rcx
   0x00000000004015eb <+39>:    lea    0x8(%rsp),%rdx
   0x00000000004015f0 <+44>:    mov    $0x402619,%esi
   0x00000000004015f5 <+49>:    mov    $0x603870,%edi
   0x00000000004015fa <+54>:    callq  0x400bf0 <__isoc99_sscanf@plt>
   0x00000000004015ff <+59>:    cmp    $0x3,%eax
   0x0000000000401602 <+62>:    jne    0x401635 <phase_defused+113>
   0x0000000000401604 <+64>:    mov    $0x402622,%esi
   0x0000000000401609 <+69>:    lea    0x10(%rsp),%rdi
   0x000000000040160e <+74>:    callq  0x401338 <strings_not_equal>
   0x0000000000401613 <+79>:    test   %eax,%eax
   0x0000000000401615 <+81>:    jne    0x401635 <phase_defused+113>
   0x0000000000401617 <+83>:    mov    $0x4024f8,%edi
   0x000000000040161c <+88>:    callq  0x400b10 <puts@plt>
   0x0000000000401621 <+93>:    mov    $0x402520,%edi
   0x0000000000401626 <+98>:    callq  0x400b10 <puts@plt>
   0x000000000040162b <+103>:   mov    $0x0,%eax
   0x0000000000401630 <+108>:   callq  0x401242 <secret_phase>
   0x0000000000401635 <+113>:   mov    $0x402558,%edi
   0x000000000040163a <+118>:   callq  0x400b10 <puts@plt>
   0x000000000040163f <+123>:   mov    0x68(%rsp),%rax
   0x0000000000401644 <+128>:   xor    %fs:0x28,%rax
   0x000000000040164d <+137>:   je     0x401654 <phase_defused+144>
   0x000000000040164f <+139>:   callq  0x400b30 <__stack_chk_fail@plt>
   0x0000000000401654 <+144>:   add    $0x78,%rsp
   0x0000000000401658 <+148>:   retq
End of assembler dump.

使用gdb查看一系列的立即数对应的内容:

1
2
3
4
5
6
7
8
(gdb) x/s 0x402619
0x402619:   "%d %d %s"
(gdb) x/s 0x603870
0x603870 <input_strings+240>:   "0 0"
(gdb) x/s 0x402622
0x402622:   "DrEvil"
(gdb) x/s 0x4024f8
0x4024f8:   "Curses, you've found the secret phase!"

猜测应该输入字符串DrEvil时进入secret_phase函数,并且同一行中前两个输入值为两个数字,满足条件的只有phase_3和phase_4,直接穷举,获知在第4关末尾输入字符串DrEvil进入秘密关卡。secret_phase函数的反汇编代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Dump of assembler code for function secret_phase:
   0x0000000000401242 <+0>: push   %rbx
   0x0000000000401243 <+1>: callq  0x40149e <read_line>
   0x0000000000401248 <+6>: mov    $0xa,%edx                        表示strtol将字符串转换成10进制
   0x000000000040124d <+11>:    mov    $0x0,%esi                    strtol第二个输入参数,表示第一个非法字符的地址
   0x0000000000401252 <+16>:    mov    %rax,%rdi                    读入的字符串的指针
   0x0000000000401255 <+19>:    callq  0x400bd0 <strtol@plt>        调用strtol函数
   0x000000000040125a <+24>:    mov    %rax,%rbx                    将转换后的值保存到 %rbx
   0x000000000040125d <+27>:    lea    -0x1(%rax),%eax              将输入值减去1
   0x0000000000401260 <+30>:    cmp    $0x3e8,%eax                  将减1后的输入值转换成无符号数,再判断是否小于等于1000
   0x0000000000401265 <+35>:    jbe    0x40126c <secret_phase+42>   若小于等于1000,跳转,否则调用 explode_bomb
   0x0000000000401267 <+37>:    callq  0x40143a <explode_bomb>
   0x000000000040126c <+42>:    mov    %ebx,%esi                    将输入参数作为fun7的第2个参数
   0x000000000040126e <+44>:    mov    $0x6030f0,%edi               构造调用fun7的第1个参数
   0x0000000000401273 <+49>:    callq  0x401204 <fun7>              调用fun7
   0x0000000000401278 <+54>:    cmp    $0x2,%eax                    比较fun7函数返回值是否等于2
   0x000000000040127b <+57>:    je     0x401282 <secret_phase+64>   若等于2,跳转,否则调用 explode_bomb
   0x000000000040127d <+59>:    callq  0x40143a <explode_bomb>
   0x0000000000401282 <+64>:    mov    $0x402438,%edi
   0x0000000000401287 <+69>:    callq  0x400b10 <puts@plt>
   0x000000000040128c <+74>:    callq  0x4015c4 <phase_defused>
   0x0000000000401291 <+79>:    pop    %rbx
   0x0000000000401292 <+80>:    retq
End of assembler dump.

假设fun7的函数原型为int fun7(int *a, int b);并且变量a保存在%rdi,变量b保存在%rsi中,另外定义局部变量int result,保存在%eax作为返回值以及变量int tmp,保存在%edxfun7函数反汇编代码以及详细注释如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Dump of assembler code for function fun7:
   0x0000000000401204 <+0>: sub    $0x8,%rsp
   0x0000000000401208 <+4>: test   %rdi,%rdi                     判断a否等于0
   0x000000000040120b <+7>: je     0x401238 <fun7+52>            若a等于0,返回-1,否则继续执行
   0x000000000040120d <+9>: mov    (%rdi),%edx                   tmp = *a;
   0x000000000040120f <+11>:    cmp    %esi,%edx
   0x0000000000401211 <+13>:    jle    0x401220 <fun7+28>        判断tmp是否小于等于 b
   0x0000000000401213 <+15>:    mov    0x8(%rdi),%rdi            tmp大于b则a = *(a + 0x8)
   0x0000000000401217 <+19>:    callq  0x401204 <fun7>           result = fun7(a, b)
   0x000000000040121c <+24>:    add    %eax,%eax                 result = 2 * result
   0x000000000040121e <+26>:    jmp    0x40123d <fun7+57>        函数返回
   0x0000000000401220 <+28>:    mov    $0x0,%eax                 tmp小于等于b,置result=0
   0x0000000000401225 <+33>:    cmp    %esi,%edx
   0x0000000000401227 <+35>:    je     0x40123d <fun7+57>        判断tmp是否等于b,若相等,则直接返回0
   0x0000000000401229 <+37>:    mov    0x10(%rdi),%rdi           tmp不等于b则a = *(a + 0x10)
   0x000000000040122d <+41>:    callq  0x401204 <fun7>           result = fun7(a, b)
   0x0000000000401232 <+46>:    lea    0x1(%rax,%rax,1),%eax     result = 2 * result + 1;
   0x0000000000401236 <+50>:    jmp    0x40123d <fun7+57>
   0x0000000000401238 <+52>:    mov    $0xffffffff,%eax
   0x000000000040123d <+57>:    add    $0x8,%rsp
   0x0000000000401241 <+61>:    retq
End of assembler dump.

fun7对应的C程序:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
int fun7(int *a, int b)
{
    if(a == 0)
    {
        return -1;
    }
    int tmp = *a;
    int result = 0;
    if(tmp > b)
    {
        a = *(a + 0x8);
        result = fun7(a, b);
        return 2 * result;  //返回值为偶数
    }
    else
    {
        if(tmp == b)
        {
            return 0;
        }
        a = *(a + 0x10);
        result = fun7(a, b);
        return 2 * result + 1; //返回值为奇数
    }
}

破解思路

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
即指针变量a的地址为0x6030f0,求参数b的值,使得函数的返回值等于2?
1次函数返回值 2 = 2 * result
2次函数返回值 1 = 2 * result + 1
3次函数返回值 result = 0

开始指针a的值等于 0x6030f0
查看 0x6030f0 内存单元的内容获得tmp变量的值
(gdb) x/1xw 0x006030f0
0x6030f0 <n1>:  0x00000024
从函数调用可知,应该进入tmp大于b的选择条件,得知b的值应该小于0x24

将指针变量a指向(0x6030f0 + 0x08)内存单元的内容,再次调用fun7
所以第2次调用fun7指针变量a的值等于 0x0000000000603110
(gdb) x/1xg 0x6030f8
0x6030f8 <n1+8>:    0x0000000000603110

再次查看 0x0000000000603110 内存单元的内容获得tmp变量的值
(gdb) x/1xw 0x0000000000603110
0x603110 <n21>: 0x00000008
从函数调用可知,应该进入tmp小于b的选择条件,得知b的值应该大于0x08

将指针变量a指向(0x0000000000603110 + 0x10)内存单元的内容,再次调用fun7
所以第3次调用fun7指针变量a的值等于 0x0000000000603150
(gdb) x/1xg 0x0000000000603120
0x603120 <n21+16>:  0x0000000000603150

3次函数fun7应该进入tmp等于b选择条件,因此直接查看 0x0000000000603150 内存单元的内容
(gdb) x/1xw 0x0000000000603150
0x603150 <n32>: 0x00000016

tmp的值等于0x16,也即输入参数b的值

结束语

历经两天的时间,仔细阅读理解每一行汇编语言,重新整理CSAPP第3章相关内容,并且在每一个过程调用时,动手去绘制对应的栈示意图,虽然前面几次感觉生疏,特别费时间,但随着更深入的理解,逐步进入状态,所以后面即使面对像phase_6这样复杂的函数也得心应手。这也是第一次创作如此篇幅之长的博文,所以难免有诸多的纰漏错误之处,诸位可以留言指正。

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

能剒削柱梁谓之木匠<br>能穴凿穴坎谓之土匠<br>能雕琢文书谓之史匠<br>能搬砖撸码谓之码匠