BinaryBombs(二进制炸弹实验)
实验介绍
- 使用所学知识拆除Binary Bombs来增强对程序的机器级表示、汇编语言、调试器和逆向工程等理解。
- Binary Bombs(二进制炸弹)是一个可执行程序,是C语言编译链接成的,包含phase1~phase6共6个阶段(还有隐藏阶段)。
- 各阶段要求输入一个答案,若正确,该阶段炸弹被拆除,否则爆炸。
- 你需要拆除尽可能多的炸弹
- 实验提供一个bomb.c和bomb可执行文件,但是,bomb.c中只有主函数,和一些彩蛋。
- bomb有一个命令行参数,为读入的文件。所以你可以将答案写入到一个txt文件,每个答案一行。
实验技巧
gdb调试
(gdb)info reg
查看所有寄存器的信息(gdb)info frame
查看栈的信息(gdb)b * 0x
在0x处设置断点(gdb)b phase_1
在函数phase_1处设置断点(gdb)x/2s 0x
输出0x开始的两个字符串(gdb)stepi
执行一条指令(gdb)nexti
类似于stepi,但以函数调用为单位(gdb)c
继续(遇到断点后)(gdb)run ans.txt
命令行参数运行(gdb)q
退出(gdb)finish
运行到当前函数返回(gdb)delete
删除所有断点(gdb)delete 5
删除断点 5(gdb)layout asm
展示当前的汇编语言(非常的好用,ctrl + L 刷新)(gdb)p *(int *) 0x
输出位于地址0x的整数(gdb)p $rax
输出%rax的值(gdb)p /x $rax
以十六进制输出%rax的值(gdb)p *(int *)($rbp + 0x8)
输出地址%rbp + 0x8的整数(gdb)disas phase_1
反汇编phase_1函数
我的实验经验
- 先反汇编
objdump -d bomb > asm.txt
。然后把asm.txt的内容复制粘贴到word。用word来看汇编语言,方便涂色标注 - 一边分析汇编语言,一边利用gdb调试。
- 先熟读CSAPP第三章,最好把习题做完
phase_1
密码如下:I am not part of the problem. I am a Republican.
破解过程:
创新互联建站于2013年开始,先为沂源等服务建站,沂源等地企业,进行企业商务咨询服务。为沂源企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。
-
在phase_1函数处设置断点。
-
随便输出一个答案,如 abcdef。
-
观察断点信息,input_strings可知,答案确实是一个字符串。
-
反汇编观察到 strings_not_equal,推测是在判断字符串是否相等。然后,test命令测试返回值,如果非0,则爆炸。
-
0为真,1为假,那么非0对于strings_not_equal,应该是字符串不等,所以现在要找到那个与输出的字符串匹配的字符串。
-
观察到,传递给寄存器%esi的值0x
-
打印此处的字符串:
x/2s 0x
-
得到答案
汇编代码:
点击查看代码
00000000004013f9 :
4013f9: 55 push %rbp
4013fa: 48 89 e5 mov %rsp,%rbp
4013fd: be 50 31 40 00 mov $0x,%esi
: e8 3d 04 00 00 callq
: 85 c0 test %eax,%eax
: 75 02 jne d
b: 5d pop %rbp
c: c3 retq
d: e8 2e 05 00 00 callq
: eb f7 jmp b ****
phase_2
密码如下:0 1 3 6 10 15
破解过程:
-
在phase_2设置断点。
-
运行,参数为ans.txt,其中写有刚刚得到的第一个的答案。
-
先随便输入,这里输入一个数 5。
-
反汇编观察,一开始调用了
函数,那么可以先把输入改为6个数 -
继续观察下面的汇编语言,发现 -30(%rbp)不就是存放第一个数的位置吗?这里判断第一个数必须为0,否则炸弹爆炸
-
在后面,%ebx先赋值为1,然后判断是否大于5,是一个循环,然后根据输入的6个数,每轮打印发现规律。
-
得出代码:
for(int i = 1; i <= 5; i ++) a[i] = a[i - 1] + i;
。 -
则得出答案。
汇编代码:
点击查看代码
0000000000 :
: 55 push %rbp
: 48 89 e5 mov %rsp,%rbp
: 53 push %rbx
: 48 83 ec 28 sub $0x28,%rsp
d: 48 8d 75 d0 lea -0x30(%rbp),%rsi
: e8 3c 05 00 00 callq
: 83 7d d0 00 cmpl $0x0,-0x30(%rbp)
a: 78 07 js
c: bb 01 00 00 00 mov $0x1,%ebx
: eb 0f jmp
: e8 08 05 00 00 callq
: eb f2 jmp c
a: e8 01 05 00 00 callq
f: 83 c3 01 add $0x1,%ebx
: 83 fb 05 cmp $0x5,%ebx
: 7f 17 jg e
: 48 63 c3 movslq %ebx,%rax
a: 8d 53 ff lea -0x1(%rbx),%edx
d: 48 63 d2 movslq %edx,%rdx
: 89 d9 mov %ebx,%ecx
: 03 4c 95 d0 add -0x30(%rbp,%rdx,4),%ecx
: 39 4c 85 d0 cmp %ecx,-0x30(%rbp,%rax,4)
a: 74 e3 je f
c: eb dc jmp a
e: 48 83 c4 28 add $0x28,%rsp
: 5b pop %rbx
: 5d pop %rbp
: c3 retq
phase_3
密码如下:1 -1199
破解过程:
-
设置断点,运行,反汇编。
-
发现线索:
:be 1f 33 40 00 mov $0xf,%esi
。 -
打印0xf处的字符串,得到:
-
结合后边的
f:e88cfcff ff callq <__isoc99_sscanf@plt>
可知,本题答案为两个整型变量
: 8b 45 fc mov -0x4(%rbp),%eax
c: 83 f8 07 cmp $0x7,%eax
f: 77 7b ja c
第一个输入的数不能大于7
结合后面的可猜测,是一个根据第一个输入的数的switch语句
-
那就输入 1 2 进行调试测试
-
观察到
4014cf: 39 45 f8 cmp %eax,-0x8(%rbp)
4014d2: 74 05 je 4014d9
4014d4: e8 67 04 00 00 callq
4014d9: c9 leaveq
是函数不爆炸的出口
在这里设置断点,打印出%eax,得到-1199。
- 得到答案,1 -1199。答案不唯一。
汇编代码:
点击查看代码
0000000000 :
: 55 push %rbp
: 48 89 e5 mov %rsp,%rbp
: 48 83 ec 10 sub $0x10,%rsp
d: 48 8d 4d f8 lea -0x8(%rbp),%rcx
: 48 8d 55 fc lea -0x4(%rbp),%rdx
: be 1f 33 40 00 mov $0xf,%esi
a: b8 00 00 00 00 mov $0x0,%eax
f: e8 8c fc ff ff callq <__isoc99_sscanf@plt>
: 83 f8 01 cmp $0x1,%eax
: 7e 11 jle a
: 8b 45 fc mov -0x4(%rbp),%eax
c: 83 f8 07 cmp $0x7,%eax
f: 77 7b ja c
: 89 c0 mov %eax,%eax
: ff 24 c5 c0 31 40 00 jmpq *0x4031c0(,%rax,8)
a: e8 a1 04 00 00 callq
f: eb e8 jmp
4014a1: b8 00 00 00 00 mov $0x0,%eax
4014a6: 2d 7b 02 00 00 sub $0x27b,%eax
4014ab: 05 2c 01 00 00 add $0x12c,%eax
4014b0: 2d 60 03 00 00 sub $0x360,%eax
4014b5: 05 60 03 00 00 add $0x360,%eax
4014ba: 2d 60 03 00 00 sub $0x360,%eax
4014bf: 05 60 03 00 00 add $0x360,%eax
4014c4: 2d 60 03 00 00 sub $0x360,%eax
4014c9: 83 7d fc 05 cmpl $0x5,-0x4(%rbp)
4014cd: 7f 05 jg 4014d4
4014cf: 39 45 f8 cmp %eax,-0x8(%rbp)
4014d2: 74 05 je 4014d9
4014d4: e8 67 04 00 00 callq
4014d9: c9 leaveq
4014da: c3 retq
4014db: b8 95 02 00 00 mov $0x295,%eax
4014e0: eb c4 jmp 4014a6
4014e2: b8 00 00 00 00 mov $0x0,%eax
4014e7: eb c2 jmp 4014ab
4014e9: b8 00 00 00 00 mov $0x0,%eax
4014ee: eb c0 jmp 4014b0
4014f0: b8 00 00 00 00 mov $0x0,%eax
4014f5: eb be jmp 4014b5
4014f7: b8 00 00 00 00 mov $0x0,%eax
4014fc: eb bc jmp 4014ba
4014fe: b8 00 00 00 00 mov $0x0,%eax
: eb ba jmp 4014bf
: b8 00 00 00 00 mov $0x0,%eax
a: eb b8 jmp 4014c4
c: e8 2f 04 00 00 callq
: b8 00 00 00 00 mov $0x0,%eax
: eb b1 jmp 4014c9
phase_4
密码如下:10 5
破解过程:
-
设置断点,运行,反汇编
-
观察到
: be 1f 33 40 00 mov $0xf,%esi : b8 00 00 00 00 mov $0x0,%eax c: e8 9f fb ff ff callq <__isoc99_sscanf@plt>
调用scanf读入,那么先打印下0xf是什么
答案是两个整型变量
- 再根据下面这段汇编语言
:8b 45 fc mov -0x4(%rbp),%eax
:85 c0 test %eax,%eax
b:78 05 js
d:83 f8 0e cmp $0xe,%eax
:7e 05 jle
:e8 b9 03 00 00 callq
:ba 0e 00 00 00 mov $0xe,%edx
得出,输入的第一个数范围:[0, 14]
- 由
: e8 7f ff ff ff callq
: 83 f8 05 cmp $0x5,%eax
c: 75 06 jne 4015a4
可知func4的返回值必须为5
- 由
e: 83 7d f8 05 cmpl $0x5,-0x8(%rbp)
4015a2: 74 05 je 4015a9
4015a4: e8 97 03 00 00 callq
可知,输入的第二个数必须为5
-
下面分析递归函数func4。
func4里每次都用到 %edi, %esi,%edx,%eax。
而我们输入的第一个数在一开始便是%edi 的值,%esi 一开始为0,%edx一开始为0xe,即为14。
不妨,将这四个寄存器, 记为 a,b,c,res
看看这几段
c: 89 d1 mov %edx,%ecx
e: 29 f1 sub %esi,%ecx
: 89 c8 mov %ecx,%eax
: c1 e8 1f shr $0x1f,%eax// 逻辑右移31
:01c8 add %ecx,%eax : d1 f8 sar %eax //算术右移
: 01 f0 add %esi,%eax
写为公式:\(res = [(c - b) >> 31 + (c - b)] / 2 + b\).
化简一下,\(res = (c - b) / 2 + b\).
再看后面的分支,和分支的执行:
if(a < res) func4(a, b, res – 1, res), res *= 2, return res
else if(a > res) func(a, res + 1, c, res), res = res * 2 + 1; return res
else return 0
- 现在从最终返回值5倒推一下:
-
\(5 = 2 * 2 + 1\) , \(res = (14 - 0) / 2 + 0 = 7\) 当前func4(a, 0, 14, 7) 则递归func4(a, 8, 14, 7)
-
\(2 = 2 * 1\) , \(res = (14 - 8) / 2 + 8 = 11\) 当前func4(a, 8, 14, 11) 则递归func4(a, 8, 10, 11)
-
\(1 = 2 * 0 + 1\) , \(res = (10 - 8) / 2 + 8 = 9\) 当前func4(a, 8, 10, 9) 则递归func4(a, 10, 10, 9)
-
\(0 = 0\) ,递归终止条件,此时$ res = (10 - 10) / 2 + 10 = 10$
好,那么可以得出 a = 10
- 则答案为 10, 5
汇编代码:
点击查看代码
0000000000 :
: 55 push %rbp
: 48 89 e5 mov %rsp,%rbp
c: 89 d1 mov %edx,%ecx
e: 29 f1 sub %esi,%ecx
: 89 c8 mov %ecx,%eax
: c1 e8 1f shr $0x1f,%eax
: 01 c8 add %ecx,%eax
: d1 f8 sar %eax
: 01 f0 add %esi,%eax
b: 39 f8 cmp %edi,%eax
d: 7f 09 jg
f: 7c 13 jl
: b8 00 00 00 00 mov $0x0,%eax
: 5d pop %rbp
: c3 retq
: 8d 50 ff lea -0x1(%rax),%edx
b: e8 d8 ff ff ff callq
: 01 c0 add %eax,%eax
: eb f2 jmp
: 8d 70 01 lea 0x1(%rax),%esi
: e8 cc ff ff ff callq
c: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax
: eb e4 jmp
0000000000 :
: 55 push %rbp
: 48 89 e5 mov %rsp,%rbp
: 48 83 ec 10 sub $0x10,%rsp
a: 48 8d 4d f8 lea -0x8(%rbp),%rcx
e: 48 8d 55 fc lea -0x4(%rbp),%rdx
: be 1f 33 40 00 mov $0xf,%esi
: b8 00 00 00 00 mov $0x0,%eax
c: e8 9f fb ff ff callq <__isoc99_sscanf@plt>
: 83 f8 02 cmp $0x2,%eax
: 75 0c jne
: 8b 45 fc mov -0x4(%rbp),%eax
: 85 c0 test %eax,%eax
b: 78 05 js
d: 83 f8 0e cmp $0xe,%eax
: 7e 05 jle
: e8 b9 03 00 00 callq
: ba 0e 00 00 00 mov $0xe,%edx
c: be 00 00 00 00 mov $0x0,%esi
: 8b 7d fc mov -0x4(%rbp),%edi
: e8 7f ff ff ff callq
: 83 f8 05 cmp $0x5,%eax
c: 75 06 jne 4015a4
e: 83 7d f8 05 cmpl $0x5,-0x8(%rbp)
4015a2: 74 05 je 4015a9
4015a4: e8 97 03 00 00 callq
4015a9: c9 leaveq
4015aa: c3 retq
phase_5
密码如下:ionefg
破解过程:
-
设置断点,运行,反汇编
-
观察到
4015b7: e8 74 02 00 00 callq
4015bc: 83 f8 06 cmp $0x6,%eax
4015bf: 75 24 jne 4015e5
推测输入为字符串,且长度为6
- 再看接下来一段
4015c1: b8 00 00 00 00 mov $0x0,%eax
4015c6: 83 f8 05 cmp $0x5,%eax//循环了6次
4015c9: 7f 21 jg 4015ec
4015cb: 48 63 c8 movslq %eax,%rcx
4015ce: 0f b6 14 0b movzbl (%rbx,%rcx,1),%edx
// 逐个取你输的字符
4015d2: 83 e2 0f and $0xf,%edx // 转为[0,15]
4015d5: 0f b6 92 00 32 40 00 movzbl 0x(%rdx),%edx
4015dc: 88 54 0d e9 mov %dl,-0x17(%rbp,%rcx,1)
4015e0: 83 c0 01 add $0x1,%eax
可以看出,它取出字符串中每一个字符,然后转为[0, 15]的一个数,然后从地址0x 加这个数的偏移量,然后取出一个东西,再把它放入栈的内存中,注意!这里的%dl说明是一个字节,那不还是字符嘛
好,先打印下0x处的字符串
发现打印出的一段奇怪的字符串。
但是,根据刚刚分析出的[0,15]的偏移量,我们取出前16个字符
得到:maduiersnfotvbyl
-
再将断点设在循环内,每次打印出%dl , 发现对于输入的abcdef,得到了aduier的ASCII码,再联系一下ASCII码的十六进制,a 为0x61。和0xf做与运算得到 0x1 。
-
发现,输出的字符串中的字符的ASCII码对0x60的偏移量 与 原字符串的字符的下标是相等的。
-
继续向下看
4015f0: be ae 31 40 00 mov $0x4031ae,%esi
4015f5: 48 8d 7d e9 lea -0x17(%rbp),%rdi
4015f9: e8 46 02 00 00 callq
4015fe: 85 c0 test %eax,%eax
: 75 07 jne
发现又是字符串匹配,先看看0x4031ae处的字符串
根据前面得到的结论。先取出这些字符,看在原字符串中的下标。
得到:9 15 14 5 6 7,然后加上0x60, 查阅ASCII码
得到:ionefg
汇编代码:
点击查看代码
00000000004015ab :
4015ab: 55 push %rbp
4015ac: 48 89 e5 mov %rsp,%rbp
4015af: 53 push %rbx
4015b0: 48 83 ec 18 sub $0x18,%rsp
4015b4: 48 89 fb mov %rdi,%rbx
4015b7: e8 74 02 00 00 callq
4015bc: 83 f8 06 cmp $0x6,%eax
4015bf: 75 24 jne 4015e5
4015c1: b8 00 00 00 00 mov $0x0,%eax
// 循环6次 0~5
4015c6: 83 f8 05 cmp $0x5,%eax
4015c9: 7f 21 jg 4015ec
4015cb: 48 63 c8 movslq %eax,%rcx
4015ce: 0f b6 14 0b movzbl (%rbx,%rcx,1),%edx // 逐个取你输的字符
4015d2: 83 e2 0f and $0xf,%edx // 转为[0,15]
4015d5: 0f b6 92 00 32 40 00 movzbl 0x(%rdx),%edx
4015dc: 88 54 0d e9 mov %dl,-0x17(%rbp,%rcx,1)
4015e0: 83 c0 01 add $0x1,%eax
4015e3: eb e1 jmp 4015c6
4015e5: e8 56 03 00 00 callq
4015ea: eb d5 jmp 4015c1
4015ec: c6 45 ef 00 movb $0x0,-0x11(%rbp)
4015f0: be ae 31 40 00 mov $0x4031ae,%esi
4015f5: 48 8d 7d e9 lea -0x17(%rbp),%rdi
4015f9: e8 46 02 00 00 callq
4015fe: 85 c0 test %eax,%eax
: 75 07 jne
: 48 83 c4 18 add $0x18,%rsp
: 5b pop %rbx
: 5d pop %rbp
: c3 retq
: e8 32 03 00 00 callq
e: eb f2 jmp
phase_6
密码如下:2 6 4 3 1 5
破解过程:
-
设置断点,运行,反汇编
-
解读汇编代码知:
- 读6个数
- 二重循环,判断是否每个数大于6,判断是否和其他数相等。即,输入的应该为1~6的排列
- 将每个数i转化为\(j = 7 – i\)
- 取出链表的第j个元素的值,放入栈中
- 遍历一遍放入栈的6个链表元素,判断是否为降序
-
链表的发现:
4016be: ba d0 52 40 00 mov $0x4052d0,%edx // 链表头
4016c9: 48 89 d9 mov %rbx,%rcx
4016db: 48 89 51 08 mov %rdx,0x8(%rcx) //next指针
发现是链式结构,设置断点,打印出:
发现nodej也是在提示
第一个为链表值,第二个为链表游标,第三个为next指针
-
那么,将链表值按降序排序,得到游标为5 1 3 4 6 2
-
再,由 \(j = 7 – i\), 得到答案 2 6 4 3 1 5
汇编代码:
点击查看代码
0000000000 :
: 55 push %rbp
: 48 89 e5 mov %rsp,%rbp
: 41 55 push %r13
: 41 54 push %r12
: 53 push %rbx
: 48 83 ec 58 sub $0x58,%rsp
d: 48 8d 75 c0 lea -0x40(%rbp),%rsi
: e8 3c 03 00 00 callq
: 41 bc 00 00 00 00 mov $0x0,%r12d // %r12d = 0
c: eb 29 jmp
e: e8 0d 03 00 00 callq
: eb 37 jmp c
: e8 06 03 00 00 callq
a: 83 c3 01 add $0x1,%ebx
===============================================================
------------------------------------------------------------
d: 83 fb 05 cmp $0x5,%ebx // if(%ebx > 5)
: 7f 12 jg
: 49 63 c4 movslq %r12d,%rax // %rax = %r12d
: 48 63 d3 movslq %ebx,%rdx // %rdx = %ebx
: 8b 7c 95 c0 mov -0x40(%rbp,%rdx,4),%edi
c: 39 7c 85 c0 cmp %edi,-0x40(%rbp,%rax,4)
: 75 e8 jne a
-----------------------------------------------------------
: eb e1 jmp
: 45 89 ec mov %r13d,%r12d
: 41 83 fc 05 cmp $0x5,%r12d // cmp %r12d 5
b: 7f 19 jg // >
d: 49 63 c4 movslq %r12d,%rax // %rax = %r12d
: 8b 44 85 c0 mov -0x40(%rbp,%rax,4),%eax
: 83 e8 01 sub $0x1,%eax // %rax -= 1
: 83 f8 05 cmp $0x5,%eax // if rax > 5
a: 77 c2 ja e
c: 45 8d 6c 24 01 lea 0x1(%r12),%r13d
// %r13d=(%r12d+1)
: 44 89 eb mov %r13d,%ebx // %ebx = %r13d
: eb c7 jmp d
================================================================
: b8 00 00 00 00 mov $0x0,%eax // %eax = 0
b: eb 13 jmp
// j = 7 - i
==========================================================
d: 48 63 c8 movslq %eax,%rcx
: ba 07 00 00 00 mov $0x7,%edx
: 2b 54 8d c0 sub -0x40(%rbp,%rcx,4),%edx
从第一个数开始
: 89 54 8d c0 mov %edx,-0x40(%rbp,%rcx,4)
d: 83 c0 01 add $0x1,%eax
: 83 f8 05 cmp $0x5,%eax
: 7e e8 jle d
==========================================================
: be 00 00 00 00 mov $0x0,%esi
a: eb 18 jmp 4016b4
c: 48 8b 52 08 mov 0x8(%rdx),%rdx
4016a0: 83 c0 01 add $0x1,%eax
//二重循环,寻找第j个链表元素
==============================================================
4016a3: 48 63 ce movslq %esi,%rcx
4016a6: 39 44 8d c0 cmp %eax,-0x40(%rbp,%rcx,4)
4016aa: 7f f0 jg c
4016ac: 48 89 54 cd 90 mov %rdx,-0x70(%rbp,%rcx,8)
4016b1: 83 c6 01 add $0x1,%esi
4016b4: 83 fe 05 cmp $0x5,%esi
4016b7: 7f 0c jg 4016c5
4016b9: b8 01 00 00 00 mov $0x1,%eax
4016be: ba d0 52 40 00 mov $0x4052d0,%edx // 链表头
4016c3: eb de jmp 4016a3
4016c5: 48 8b 5d 90 mov -0x70(%rbp)
4016c9: 48 89 d9 mov %rbx,%rcx //%rcx = %rbx
4016cc: b8 01 00 00 00 mov $0x1,%eax // eax = 1
4016d1: eb 12 jmp 4016e5
4016d3: 48 63 d0 movslq %eax,%rdx // rdx = eax
4016d6: 48 8b 54 d5 90 mov -0x70(%rbp,%rdx,8),%rdx
4016db: 48 89 51 08 mov %rdx,0x8(%rcx)
4016df: 83 c0 01 add $0x1,%eax
4016e2: 48 89 d1 mov %rdx,%rcx // rcx = rdx
4016e5: 83 f8 05 cmp $0x5,%eax // while 循环
4016e8: 7e e9 jle 4016d3
=========================================================
4016ea: 48 c7 41 08 00 00 00 movq $0x0,0x8(%rcx)
4016f1: 00
4016f2: 41 bc 00 00 00 00 mov $0x0,%r12d
4016f8: eb 08 jmp
4016fa: 48 8b 5b 08 mov 0x8(%rbx),%rbx
4016fe: 41 83 c4 01 add $0x1,%r12d
: 41 83 fc 04 cmp $0x4,%r12d
: 7f 11 jg
: 48 8b 43 08 mov 0x8(%rbx),%rax
c: 8b 00 mov (%rax),%eax
e: 39 03 cmp %eax,(%rbx)
: 7d e8 jge 4016fa
// 这里是一重循环,判断是否前个元素大于等于后一个元素,即降序
// 否则爆炸
: e8 29 02 00 00 callq
: eb e1 jmp 4016fa
: 48 83 c4 58 add $0x58,%rsp
d: 5b pop %rbx
e: 41 5c pop %r12
: 41 5d pop %r13
: 5d pop %rbp
: c3 retq
secret_phase
密码如下:47
破解过程:
- 首先要找到入口,看phase_defused函数
0000000000401ac9 :
401ac9: 83 3d 9c 3c 00 00 06 cmpl $0x6,0x3c9c(%rip) \#c
401ad0: 74 01 je 401ad3
在0x401ad0处设置断点,然后打印出0x3c9c(%rip)
发现分别为 1 2 3 4 5 6
则可以推断出,要在6个炸弹都拆后才可以进入后边。
401ae7: be 69 33 40 00 mov $0x,%esi
401aec: bf 70 58 40 00 mov $0x,%edi
----
401b0c: be 72 33 40 00 mov $0x,%esi
401b11: 48 8d 7d b0 lea -0x50(%rbp),%rdi
401b15: e8 2a fd ff ff callq
先打印出这三个地址的字符串:
可以推断出,输入为两个整型变量和一个字符串。
且这个字符串必须为DrEvil。但是,phase_4和phase_3的输入都是两个整数
那么我们在判断字符串相等处,设置断点,打印出值观察:
10 和 5!
那么就确定为phase_4的答案后加上DrEvil
-
成功进入隐藏关。
-
看secret_phase函数
0000000000e :
: e8 32 02 00 00 callq e
f: e8 cc f9 ff ff callq
发现了readline函数和atoi函数,说明是输一个数字。(atoi函数作用为将字符串转为整型)
: 8d 40 ff lea -0x1(%rax),c%eax
: 3d e8 03 00 00 cmp $0x3e8,%eax //1000
e: 77 27 ja 4017a7
: 89 de mov %ebx,%esi
: bf f0 50 40 00 mov $0x4050f0,%edi//此处地址的值为36
: e8 98 ff ff ff callq
c: 83 f8 05 cmp $0x5,%eax //返回值得为5
则输出值不超1001
输入进func7后,返回值必须为5
-
再看func7函数又是一个分支+递归。
直接写出伪代码:
记%rdi 为 p,%rax 为 res, %esi为 x,
则func7(* p, int res, int x) 。
一开始,\(*p = 36\), x为你输入的数。
if(x < *p)
p = *(p + 8),func7(p, res, x), res *= 2,return res;
else if(x > *p)
p = *(p + 10),func7(p, res, x), res = res * 2 + 1,return res;
else
return 0;
那么现在由返回值5逆推
5 = 2 * 2 + 1 p = *p + 10
2 = 2 * 1 p = *p + 8
1 = 2 * 0 + 1 p = *p + 10
0 = 0 *p == x
则可以调试打印出:
- \(0x2f = 47\)
汇编代码:
点击查看代码
0000000000 :
: 48 85 ff test %rdi,%rdi
: 74 2f je
: 55 push %rbp
a: 48 89 e5 mov %rsp,%rbp
d: 8b 07 mov (%rdi),%eax
f: 39 f0 cmp %esi,%eax
: 7f 09 jg c
: 75 14 jne
: b8 00 00 00 00 mov $0x0,%eax
a: 5d pop %rbp
b: c3 retq
c: 48 8b 7f 08 mov 0x8(%rdi),%rdi
: e8 df ff ff ff callq
: 01 c0 add %eax,%eax
: eb f1 jmp a
: 48 8b 7f 10 mov 0x10(%rdi),%rdi
d: e8 d2 ff ff ff callq
: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax
: eb e2 jmp a
: b8 ff ff ff ff mov $0xffffffff,%eax
d: c3 retq
0000000000e :
e: 55 push %rbp
f: 48 89 e5 mov %rsp,%rbp
: 53 push %rbx
: 48 83 ec 08 sub $0x8,%rsp
: e8 32 02 00 00 callq e
c: 48 89 c7 mov %rax,%rdi
f: e8 cc f9 ff ff callq
: 89 c3 mov %eax,%ebx
: 8d 40 ff lea -0x1(%rax),%eax
: 3d e8 03 00 00 cmp $0x3e8,%eax
e: 77 27 ja 4017a7
: 89 de mov %ebx,%esi
: bf f0 50 40 00 mov $0x4050f0,%edi
: e8 98 ff ff ff callq
c: 83 f8 05 cmp $0x5,%eax
f: 75 1d jne 4017ae
: bf 88 31 40 00 mov $0x,%edi
: e8 c5 f8 ff ff callq
b: e8 29 03 00 00 callq 401ac9
4017a0: 48 83 c4 08 add $0x8,%rsp
4017a4: 5b pop %rbx
4017a5: 5d pop %rbp
4017a6: c3 retq
4017a7: e8 94 01 00 00 callq
4017ac: eb d2 jmp
4017ae: e8 8d 01 00 00 callq
4017b3: eb dc jmp
0000000000401ac9 :
401ac9: 83 3d 9c 3c 00 00 06 cmpl $0x6,0x3c9c(%rip) # c
401ad0: 74 01 je 401ad3
401ad2: c3 retq
401ad3: 55 push %rbp
401ad4: 48 89 e5 mov %rsp,%rbp
401ad7: 48 83 ec 60 sub $0x60,%rsp
401adb: 4c 8d 45 b0 lea -0x50(%rbp),%r8
401adf: 48 8d 4d a8 lea -0x58(%rbp),%rcx
401ae3: 48 8d 55 ac lea -0x54(%rbp),%rdx
401ae7: be 69 33 40 00 mov $0x,%esi
401aec: bf 70 58 40 00 mov $0x,%edi
401af1: b8 00 00 00 00 mov $0x0,%eax
401af6: e8 15 f6 ff ff callq <__isoc99_sscanf@plt>
401afb: 83 f8 03 cmp $0x3,%eax
401afe: 74 0c je 401b0c
401b00: bf a8 32 40 00 mov $0x4032a8,%edi
401b05: e8 56 f5 ff ff callq
401b0a: c9 leaveq
401b0b: c3 retq
401b0c: be 72 33 40 00 mov $0x,%esi
401b11: 48 8d 7d b0 lea -0x50(%rbp),%rdi
401b15: e8 2a fd ff ff callq
401b1a: 85 c0 test %eax,%eax
401b1c: 75 e2 jne 401b00
401b1e: bf 48 32 40 00 mov $0x,%edi
401b23: e8 38 f5 ff ff callq
401b28: bf 70 32 40 00 mov $0x,%edi
401b2d: e8 2e f5 ff ff callq
401b32: b8 00 00 00 00 mov $0x0,%eax
401b37: e8 22 fc ff ff callq e
401b3c: eb c2 jmp 401b00
后记
做了一遍挺痛苦,然后写实验报告梳理了一遍思路,还是挺有收获的。
分享题目:BinaryBombs(二进制炸弹实验)
标题链接:http://cdiso.cn/article/dsoiegg.html