要么改变世界,要么适应世界

CS:APP-Bomb Lab

2023-08-05 13:43:05
0
目录

前言

该实验主要是考察我们的阅读汇编代码的能力,会有几个小的关卡,通过了第一个关卡后才可以进入下一个关卡。

推荐工具:pwbdbg,便于动态调试查看源码和寄存器等变量.

获取汇编代码:

objdump -d bomb > bomb.s

通关观察bomb.c文件,我们可以知道,每一个阶段都会获取我们的输入,然后作为参数调用phase_x

函数调用过程,参数传递表:

机器位数 1 2 3 4 5 6
64 %rdi %rsi %rdx %rcx %r8 %r9

如果参数超过7,则第七个开始,参数是放到栈上,且是逆序压入栈中(第7个参数是在栈顶)

返回值是放到了rax

此外,rbp寄存器通常被用作栈帧指针(Frame Pointer)或基址指针(Base Pointer),一般用于定位局部变量

rsp用于指向当前栈顶的地址,二者动态共同维护函数栈帧

phase_1

使用pwndbg打开可执行文件

gdb bomb
b main
run

然后不断单步运行,输入测试aaaabbbb,然后使用命令s步入phase_1方法,该函数内容如下:

► 0x400ee0 <phase_1>       sub    rsp, 8
   0x400ee4 <phase_1+4>     mov    esi, 0x402400
   0x400ee9 <phase_1+9>     call   strings_not_equal                      <strings_not_equal>
 
   0x400eee <phase_1+14>    test   eax, eax
   0x400ef0 <phase_1+16>    je     phase_1+23                      <phase_1+23>
 
   0x400ef2 <phase_1+18>    call   explode_bomb                      <explode_bomb>
 
   0x400ef7 <phase_1+23>    add    rsp, 8
   0x400efb <phase_1+27>    ret    

我们可以看到,函数将0x402400作为参数,给到了esi,然后是调用函数strings_not_equal,该函数用于判断两个字符串是否相等,而esi是调用函数中,充当保存第二个参数的角色,盲猜0x402400中存放的是一个字符串,我们来看看这个字符串是什么:

pwndbg> print (char*)0x402400
$3 = 0x402400 "Border relations with Canada have never been better."

把它作为输入参数,先重新运行

gdb bomb
b main
run

然后输入Border relations with Canada have never been better.,程序果然进入到了下一个阶段函数中了。

In file: /home/kali/Desktop/bomb/bomb.c
   76                                 * Let me know how they did it. */
   77     printf("Phase 1 defused. How about the next one?\n");
   78 
   79     /* The second phase is harder.  No one will ever figure out
   80      * how to defuse this... */
 ► 81     input = read_line();
   82     phase_2(input);
   83     phase_defused();
   84     printf("That's number 2.  Keep going!\n");
   85 
   86     /* I guess this is too easy so far.  Some more complex code will

因此本次通关payloadBorder relations with Canada have never been better.

phase_2

经过长时间的动态调试后,该函数主要的功能是:

先调用sscanf()函数将我们输入的字符串解析成若干个数字,数字个数必须是6个,然后第一个数字必须是1,接着用循环判断这些数字,要满足后面的数字是前面一个上数字的两倍,因此我们可以直接输入1 2 4 8 16 32

下面是phase_2函数的解析:

; bobm.s 
0000000000400efc <phase_2>:
  400efc:	55                   	push   %rbp
  400efd:	53                   	push   %rbx
  400efe:	48 83 ec 28          	sub    $0x28,%rsp
  ; 将rsp的内容给rsi,rsi作为函数调用过程中的第二个参数,说明read_six_numbers函数的入参参数至少有两个
  400f02:	48 89 e6             	mov    %rsp,%rsi
  400f05:	e8 52 05 00 00       	call   40145c <read_six_numbers>
  ; 经过上面的函数调用,rsp指向的地址中,保存的是若干个整数
  400f0a:	83 3c 24 01          	cmpl   $0x1,(%rsp)
  ; 输入的第一个参数必须是 1
  400f0e:	74 20                	je     400f30 <phase_2+0x34>
  400f10:	e8 25 05 00 00       	call   40143a <explode_bomb>
  ; 直接跳 400f30
  400f15:	eb 19                	jmp    400f30 <phase_2+0x34>
  ; 获取上一个位置的值
  400f17:	8b 43 fc             	mov    -0x4(%rbx),%eax
  ; 上一个值加倍
  400f1a:	01 c0                	add    %eax,%eax
  ; 和当前的相比,是否相等
  400f1c:	39 03                	cmp    %eax,(%rbx)
  ; 相等直接跳 400f25
  400f1e:	74 05                	je     400f25 <phase_2+0x29>
  ; 不等就调用 explode_bomb
  400f20:	e8 15 05 00 00       	call   40143a <explode_bomb>
  ; rbx往后移动
  400f25:	48 83 c3 04          	add    $0x4,%rbx
  ; 判断  rbp 是否和 rbx 相等,不等的时候跳 400f17,即继续循环
  400f29:	48 39 eb             	cmp    %rbp,%rbx
  400f2c:	75 e9                	jne    400f17 <phase_2+0x1b>
  ; 否则跳400f3c
  400f2e:	eb 0c                	jmp    400f3c <phase_2+0x40>
  ; rbx 指向 rsp 的下一个位置
  400f30:	48 8d 5c 24 04       	lea    0x4(%rsp),%rbx
  400f35:	48 8d 6c 24 18       	lea    0x18(%rsp),%rbp
  ; 直接跳 400f17
  400f3a:	eb db                	jmp    400f17 <phase_2+0x1b>
  400f3c:	48 83 c4 28          	add    $0x28,%rsp
  400f40:	5b                   	pop    %rbx
  400f41:	5d                   	pop    %rbp
  400f42:	c3                   	ret

read_six_numbers函数内容:

; bobm.s 
000000000040145c <read_six_numbers>:
  40145c:	48 83 ec 18          	sub    $0x18,%rsp
  ; 将rsi的内容给rdx,而rdx是函数调用过程中第三个参数
  ; 后面调用了 sscanf ,而 sscanf 函数的第三个参数是解析字符串后的第一个值,
  ; 因此我们可以大胆猜测rdx指向的内存,是保存解析我们输入的字符串所代表的数字
  401460:	48 89 f2             	mov    %rsi,%rdx
  401463:	48 8d 4e 04          	lea    0x4(%rsi),%rcx
  401467:	48 8d 46 14          	lea    0x14(%rsi),%rax
  40146b:	48 89 44 24 08       	mov    %rax,0x8(%rsp)
  401470:	48 8d 46 10          	lea    0x10(%rsi),%rax
  401474:	48 89 04 24          	mov    %rax,(%rsp)
  401478:	4c 8d 4e 0c          	lea    0xc(%rsi),%r9
  40147c:	4c 8d 46 08          	lea    0x8(%rsi),%r8
  401480:	be c3 25 40 00       	mov    $0x4025c3,%esi
  401485:	b8 00 00 00 00       	mov    $0x0,%eax
  ; 调试过程中我们发现第二个参数是 %d %d %d %d %d %d
  40148a:	e8 61 f7 ff ff       	call   400bf0 <__isoc99_sscanf@plt>
  40148f:	83 f8 05             	cmp    $0x5,%eax 
  ; sscanf函数返回值与0比较,小于等于5则调用explode_bomb
  ; 因此我们要输入6个数字,并以空格相隔
  401492:	7f 05                	jg     401499 <read_six_numbers+0x3d>
  401494:	e8 a1 ff ff ff       	call   40143a <explode_bomb>
  401499:	48 83 c4 18          	add    $0x18,%rsp
  40149d:	c3                   	ret

因此通关payload1 2 4 8 16 32

phase_3

0000000000400f43 <phase_3>:
  ; 栈帧有24字节大小
  400f43:	48 83 ec 18          	sub    $0x18,%rsp
  ; 函数调用的第4个参数
  400f47:	48 8d 4c 24 0c       	lea    0xc(%rsp),%rcx
  ; 函数调用的第3个参数
  400f4c:	48 8d 54 24 08       	lea    0x8(%rsp),%rdx
  ; 动态调试过程发现 0x4025cf 执行的内容是 %d %d
  400f51:	be cf 25 40 00       	mov    $0x4025cf,%esi
  400f56:	b8 00 00 00 00       	mov    $0x0,%eax
  400f5b:	e8 90 fc ff ff       	call   400bf0 <__isoc99_sscanf@plt>
  ; 返回值要大于1.因此我们可以得出结论,程序将我们输入的两个数字保存到了栈上,
  ; 第一个数字距离栈顶8字节,第二个数字距离栈顶12字节
  400f60:	83 f8 01             	cmp    $0x1,%eax
  400f63:	7f 05                	jg     400f6a <phase_3+0x27>
  400f65:	e8 d0 04 00 00       	call   40143a <explode_bomb>
  ; 无符号比较,第一个数字与7比较,如果大于7,则跳 400fad,即调用explode_bomb
  ; 因此第一个数字要小于等于7
  400f6a:	83 7c 24 08 07       	cmpl   $0x7,0x8(%rsp)
  400f6f:	77 3c                	ja     400fad <phase_3+0x6a>
  ; 第一个数字给eax
  400f71:	8b 44 24 08          	mov    0x8(%rsp),%eax
  ; 跳到 0x402470 + rax*8 的位置
  ; 理想状况下,最好能够直接跳到 400fc9,但是如果想要跳到这个位置,那么需要我们输入的是一个负数
  ; 可是输入负数后,上面的cmpl又过不了
  ; 我输入的是0,然后就跳过了这里
  400f75:	ff 24 c5 70 24 40 00 	jmp    *0x402470(,%rax,8)
  ; 将0xcf给eax
  400f7c:	b8 cf 00 00 00       	mov    $0xcf,%eax
  ; 跳 400fbe
  400f81:	eb 3b                	jmp    400fbe <phase_3+0x7b>
  400f83:	b8 c3 02 00 00       	mov    $0x2c3,%eax
  400f88:	eb 34                	jmp    400fbe <phase_3+0x7b>
  400f8a:	b8 00 01 00 00       	mov    $0x100,%eax
  400f8f:	eb 2d                	jmp    400fbe <phase_3+0x7b>
  400f91:	b8 85 01 00 00       	mov    $0x185,%eax
  400f96:	eb 26                	jmp    400fbe <phase_3+0x7b>
  400f98:	b8 ce 00 00 00       	mov    $0xce,%eax
  400f9d:	eb 1f                	jmp    400fbe <phase_3+0x7b>
  400f9f:	b8 aa 02 00 00       	mov    $0x2aa,%eax
  400fa4:	eb 18                	jmp    400fbe <phase_3+0x7b>
  400fa6:	b8 47 01 00 00       	mov    $0x147,%eax
  400fab:	eb 11                	jmp    400fbe <phase_3+0x7b>
  400fad:	e8 88 04 00 00       	call   40143a <explode_bomb>
  400fb2:	b8 00 00 00 00       	mov    $0x0,%eax
  400fb7:	eb 05                	jmp    400fbe <phase_3+0x7b>
  400fb9:	b8 37 01 00 00       	mov    $0x137,%eax
  ; 将我们输入的第二个数字与eax比较
  400fbe:	3b 44 24 0c          	cmp    0xc(%rsp),%eax
  ; 相等就跳 400fc9 因此第二个数字必须是0xcf=207
  400fc2:	74 05                	je     400fc9 <phase_3+0x86>
  400fc4:	e8 71 04 00 00       	call   40143a <explode_bomb>
  400fc9:	48 83 c4 18          	add    $0x18,%rsp
  400fcd:	c3                   	ret

因此最终我们要先输入一个0~7的数字,再输入207

因此通关payload:0 207

phase_4

000000000040100c <phase_4>:
  ; 栈帧有24字节大小
  40100c:	48 83 ec 18          	sub    $0x18,%rsp
  ; 函数调用的第4个参数,实际上该地址对应我们输入的第二个数字
  401010:	48 8d 4c 24 0c       	lea    0xc(%rsp),%rcx
  ; 函数调用的第3个参数,实际上该地址对应我们输入的第一个数字
  401015:	48 8d 54 24 08       	lea    0x8(%rsp),%rdx
  ; 动态调试过程发现 0x4025cf 执行的内容是 %d %d
  40101a:	be cf 25 40 00       	mov    $0x4025cf,%esi
  40101f:	b8 00 00 00 00       	mov    $0x0,%eax
  401024:	e8 c7 fb ff ff       	call   400bf0 <__isoc99_sscanf@plt>
  ; 返回值要等于2,即我们输入的字符串中,必须包含且仅包含两个数字
  ; 第一个数字距离栈顶8字节,第二个数字距离栈顶12字节
  401029:	83 f8 02             	cmp    $0x2,%eax
  40102c:	75 07                	jne    401035 <phase_4+0x29>
  ; 取第一个数字进行无符号比较
  40102e:	83 7c 24 08 0e       	cmpl   $0xe,0x8(%rsp)
  ; 小于等于 0xe = 14 则 跳40103a
  401033:	76 05                	jbe    40103a <phase_4+0x2e>
  ; 否则调用 explode_bomb,因此我们输入的第一个数字必须小于等于14
  401035:	e8 00 04 00 00       	call   40143a <explode_bomb>
  ; 函数调用的第3个参数,值为0xe
  40103a:	ba 0e 00 00 00       	mov    $0xe,%edx
  ; 函数调用的第2个参数,值为0x0
  40103f:	be 00 00 00 00       	mov    $0x0,%esi
  ; 函数调用的第1个参数,值为我们输入的第一个数字
  401044:	8b 7c 24 08          	mov    0x8(%rsp),%edi
  401048:	e8 81 ff ff ff       	call   400fce <func4>
  ; 检查返回值
  40104d:	85 c0                	test   %eax,%eax
  ; 如果不等于0,则跳401058
  ; 因此我们要使得func4函数返回值为0
  40104f:	75 07                	jne    401058 <phase_4+0x4c>
  ; 将0xc(%rsp)与0x0相比
  401051:	83 7c 24 0c 00       	cmpl   $0x0,0xc(%rsp)
  ; 相等则跳40105d,实际上我们需要使得该位置变为0
  ; 该位置实际上是我们输入的第二个数字
  401056:	74 05                	je     40105d <phase_4+0x51>
  401058:	e8 dd 03 00 00       	call   40143a <explode_bomb>
  40105d:	48 83 c4 18          	add    $0x18,%rsp
  401061:	c3                   	ret

查看func4()内容:

0000000000400fce <func4>:
  ; 栈帧有8字节大小
  400fce:	48 83 ec 08          	sub    $0x8,%rsp
  ; 将传进来的第三个参数给eax
  400fd2:	89 d0                	mov    %edx,%eax
  ; eax = eax - esi ,即 eax减去传过来的第二个参数
  400fd4:	29 f0                	sub    %esi,%eax
  ; eax = ecx
  400fd6:	89 c1                	mov    %eax,%ecx
  ; 逻辑右移31位后,ecx最低位是原先的最高位
  400fd8:	c1 e9 1f             	shr    $0x1f,%ecx
  400fdb:	01 c8                	add    %ecx,%eax
  ; 算术右移一位(除以2)
  400fdd:	d1 f8                	sar    %eax
  ; ecx = rax + rsi * 1
  400fdf:	8d 0c 30             	lea    (%rax,%rsi,1),%ecx
  400fe2:	39 f9                	cmp    %edi,%ecx
  ; 如果 ecx 小于等于 edi,则跳400ff2(mov    $0x0,%eax)
  400fe4:	7e 0c                	jle    400ff2 <func4+0x24>
  ; 否则,edx = rcx -1
  400fe6:	8d 51 ff             	lea    -0x1(%rcx),%edx
  ; 递归调用
  400fe9:	e8 e0 ff ff ff       	call   400fce <func4>
  ; eax = eax + eax;
  400fee:	01 c0                	add    %eax,%eax
  ; 跳401007,即函数返回
  400ff0:	eb 15                	jmp    401007 <func4+0x39>
  400ff2:	b8 00 00 00 00       	mov    $0x0,%eax
  400ff7:	39 f9                	cmp    %edi,%ecx
  ; 如果 edi 大于等于 ecx,则跳 401007(add    $0x8,%rsp)
  400ff9:	7d 0c                	jge    401007 <func4+0x39>
  ; 否则,esi = rcx + 1
  400ffb:	8d 71 01             	lea    0x1(%rcx),%esi
  ; 递归调用
  400ffe:	e8 cb ff ff ff       	call   400fce <func4>
  ; eax = rax + rax * 1 + 1
  401003:	8d 44 00 01          	lea    0x1(%rax,%rax,1),%eax
  401007:	48 83 c4 08          	add    $0x8,%rsp
  40100b:	c3                   	ret

对应的C代码大致如下:

 unsigned func4(unsigned di, unsigned si, unsigned dx){
     ax = dx - si;
     cx = ax;
     // 对cx无符号右移31位
     // 即 如果dx小于si,则cx=1
     if(cx & 0x80000000){
         cx = 1;
     } else{
         cx = 0;
     }
     ax = cx + ax;
     // 算数右移
     ax = ax >> 1;
     cx = ax + si;
     // 2~14行,等价于 cx=(|dx-si|+dx-si)/2+si
     // |dx-si| 要么是0,要么是1
     if(cx == di)return 0;
     if(cx<di){
     	si = cx + 1;
		return 2 * func(di,si,dx) + 1;
     }else{
         dx = cx - 1;
         ax = return 2 * func(di,si,dx);
     }
 }

假设一开始我们输入的数字是x,我们来看一下调用栈

f(x,0,14)
  |-- 0                : if x == 7
  |-- 2 * f(x,8,14) + 1: if x > 7
  |-- 2 * f(x,0,6)     : if x < 7

再通关条件是:

  • 输入的第一个数字是小于等于14

  • 输入的第二个数字是0

  • func4函数返回值是0

因此满足条件的一个payload7 0(当然不止这一个,满足func4返回值是0的都可以)

因此通关payload:7 0

phase_5

0000000000401062 <phase_5>:
  401062:	53                   	push   %rbx
  401063:	48 83 ec 20          	sub    $0x20,%rsp
  401067:	48 89 fb             	mov    %rdi,%rbx
  40106a:	64 48 8b 04 25 28 00 	mov    %fs:0x28,%rax
  401071:	00 00 
  401073:	48 89 44 24 18       	mov    %rax,0x18(%rsp)
  401078:	31 c0                	xor    %eax,%eax
  40107a:	e8 9c 02 00 00       	call   40131b <string_length>
  ; 输入的长度必须是6
  40107f:	83 f8 06             	cmp    $0x6,%eax
  401082:	74 4e                	je     4010d2 <phase_5+0x70>
  401084:	e8 b1 03 00 00       	call   40143a <explode_bomb>
  401089:	eb 47                	jmp    4010d2 <phase_5+0x70>
  ; ecx = rbx + rax * 1
  ; 循环开始 rax 从0~5变化,实际上相当于循环获取数组中的内容,然后每个元素和0xf进行与操作
  ; 而该数组用rbx地址指定,rbx又由rdi指定,rdi指向我们输入的字符串
  ; 因此实际上是遍历我们的字符串,依次把每个元素与0xf进行与操作,然后作为偏移地址
  40108b:	0f b6 0c 03          	movzbl (%rbx,%rax,1),%ecx
  40108f:	88 0c 24             	mov    %cl,(%rsp)
  401092:	48 8b 14 24          	mov    (%rsp),%rdx
  401096:	83 e2 0f             	and    $0xf,%edx
  ;rdx作为偏移地址,获取 0x4024b0 开始偏移rdx的内容,写入到edx中
  ;0x4024b0的内容为maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?
  401099:	0f b6 92 b0 24 40 00 	movzbl 0x4024b0(%rdx),%edx
  ; 然后再写入到rsp+rax+0x10中
  4010a0:	88 54 04 10          	mov    %dl,0x10(%rsp,%rax,1)
  4010a4:	48 83 c0 01          	add    $0x1,%rax
  4010a8:	48 83 f8 06          	cmp    $0x6,%rax
  ; 如果rax-6不等于0,则跳至40108b(循环结束)
  4010ac:	75 dd                	jne    40108b <phase_5+0x29>
  ; 将距离栈顶0x16个字节的内容赋值为0
  4010ae:	c6 44 24 16 00       	movb   $0x0,0x16(%rsp)
  ; 将$0x40245e给esi
  4010b3:	be 5e 24 40 00       	mov    $0x40245e,%esi
  ; 将距离栈顶0x10个字节的字符串地址给rdi
  4010b8:	48 8d 7c 24 10       	lea    0x10(%rsp),%rdi
  ; 调用字符串是否相等,实际上是判断距离栈顶0x10个字节的字符串和$0x40245e所在的字符串是否相等
  ; 动态调试过程中,该值我们可以查到为:flyers
  4010bd:	e8 76 02 00 00       	call   401338 <strings_not_equal>
  4010c2:	85 c0                	test   %eax,%eax
  4010c4:	74 13                	je     4010d9 <phase_5+0x77>
  4010c6:	e8 6f 03 00 00       	call   40143a <explode_bomb>
  4010cb:	0f 1f 44 00 00       	nopl   0x0(%rax,%rax,1)
  4010d0:	eb 07                	jmp    4010d9 <phase_5+0x77>
  4010d2:	b8 00 00 00 00       	mov    $0x0,%eax
  4010d7:	eb b2                	jmp    40108b <phase_5+0x29>
  4010d9:	48 8b 44 24 18       	mov    0x18(%rsp),%rax
  4010de:	64 48 33 04 25 28 00 	xor    %fs:0x28,%rax
  4010e5:	00 00 
  4010e7:	74 05                	je     4010ee <phase_5+0x8c>
  4010e9:	e8 42 fa ff ff       	call   400b30 <__stack_chk_fail@plt>
  4010ee:	48 83 c4 20          	add    $0x20,%rsp
  4010f2:	5b                   	pop    %rbx
  4010f3:	c3                   	ret

最主要的是循环体中的内容。

为了从maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?中获得flyers字符串,我们要根据下表依次构建索引

m a d u i e r s n f o  t  v  b  y  l
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

需要构建的索引是

9 15 14 5 6 7

也就是说,我们输入的字符串中,每次和0xf相与后,得到的是上述的值,观察ascii表,我们可以发现很多符合条件的,一个符合条件的是

9?>567

他们的ascii码16进制表示分别为

0x39 0x3F 0x3E 0x35 0x36 0x37

因此通关payload9?>567

phase_6

这一关卡源码太多了,我实在没有完全看明白,就算借助了IDA,也只是阅读了前半部分(步骤5和步骤6看网上别人分析的):

  1. 将输入的字符串解析成6个数字
  2. 判断每个数字是否都小于等于6
  3. 判断6个数字中是否有重复值
  4. 将每个数字都变成“对应的相反数加上7”
  5. 遍历每个数字,根据每个数字的值作为偏移量,遍历0x6032d0指向的链表,获取指定偏移量后对应的链表节点的地址,将该地址写入到栈上某个地方(可以理解成一个数组)
  6. 遍历上个步骤得到的数组,其元素是若干个地址,要求当前元素指向的内容小于上个元素指向的内容,即我们要想办法构造一个逆序序列

而链表0x6032d0内容如下:

          +----------|---------+ 
0x6032d0  |   332    |0x6032e0 | 
          +----------|---------+ 
          +----------|---------+ 
0x6032e0  |  168     |0x6032f0 | 
          +----------|---------+ 
                                 
          +----------|---------+ 
0x6032f0  |  924     |0x603300 | 
          +----------|---------+ 
                                 
          +----------|---------+ 
0x603300  |  691     |0x603310 | 
          +----------|---------+ 

          +----------|---------+
0x603310  |  477     |0x603320 |
          +----------|---------+

          +----------|---------+
0x603320  |  443     |   0x0   |
          +----------|---------+

为了使得第一个元素指向的值是最大的,我们应该将第一个元素的值设置为0x6032f0,而该地址相对链首而言是第3个。第二个元素的值为0x603300,相对链首而言是第4个,即

3 4 5 6 1 2

上述再取相反数,加上7,得到我们原始输入:

4 3 2 1 6 5

下面是一些注释

00000000004010f4 <phase_6>:
  4010f4:	41 56                	push   %r14
  4010f6:	41 55                	push   %r13
  4010f8:	41 54                	push   %r12
  4010fa:	55                   	push   %rbp
  4010fb:	53                   	push   %rbx
  ; 开辟80字节空间
  4010fc:	48 83 ec 50          	sub    $0x50,%rsp
  401100:	49 89 e5             	mov    %rsp,%r13
  401103:	48 89 e6             	mov    %rsp,%rsi
  ; 将我们输入的字符串解析为6个数
  401106:	e8 51 03 00 00       	call   40145c <read_six_numbers>
  ; 经过上面的函数调用,rsp指向的地址中,保存的是若干个整数
  40110b:	49 89 e6             	mov    %rsp,%r14
  40110e:	41 bc 00 00 00 00    	mov    $0x0,%r12d
  401114:	4c 89 ed             	mov    %r13,%rbp
  401117:	41 8b 45 00          	mov    0x0(%r13),%eax
  40111b:	83 e8 01             	sub    $0x1,%eax
  ; 如果eax-1后,小于等于5,则跳转401128,否则调用explode_bomb
  ; 因此输入的数字要小于等于6
  40111e:	83 f8 05             	cmp    $0x5,%eax
  401121:	76 05                	jbe    401128 <phase_6+0x34>
  401123:	e8 12 03 00 00       	call   40143a <explode_bomb>
  
  401128:	41 83 c4 01          	add    $0x1,%r12d
  40112c:	41 83 fc 06          	cmp    $0x6,%r12d
  ; 如果r12加一后是6,则跳401153
  401130:	74 21                	je     401153 <phase_6+0x5f>
  401132:	44 89 e3             	mov    %r12d,%ebx
  401135:	48 63 c3             	movslq %ebx,%rax
  401138:	8b 04 84             	mov    (%rsp,%rax,4),%eax
  ; 实际上这一块完成的是:要输入的6个数字各不相同
  40113b:	39 45 00             	cmp    %eax,0x0(%rbp)
  40113e:	75 05                	jne    401145 <phase_6+0x51>
  401140:	e8 f5 02 00 00       	call   40143a <explode_bomb>
  401145:	83 c3 01             	add    $0x1,%ebx
  401148:	83 fb 05             	cmp    $0x5,%ebx
  40114b:	7e e8                	jle    401135 <phase_6+0x41>
  40114d:	49 83 c5 04          	add    $0x4,%r13
  401151:	eb c1                	jmp    401114 <phase_6+0x20>
  401153:	48 8d 74 24 18       	lea    0x18(%rsp),%rsi
  401158:	4c 89 f0             	mov    %r14,%rax
  40115b:	b9 07 00 00 00       	mov    $0x7,%ecx
  401160:	89 ca                	mov    %ecx,%edx
  ; 实际上这一段完成的是将输入的每个数字变为 7 - 数字
  401162:	2b 10                	sub    (%rax),%edx
  401164:	89 10                	mov    %edx,(%rax)
  401166:	48 83 c0 04          	add    $0x4,%rax
  40116a:	48 39 f0             	cmp    %rsi,%rax
  40116d:	75 f1                	jne    401160 <phase_6+0x6c>
  40116f:	be 00 00 00 00       	mov    $0x0,%esi
  401174:	eb 21                	jmp    401197 <phase_6+0xa3>
  401176:	48 8b 52 08          	mov    0x8(%rdx),%rdx
  40117a:	83 c0 01             	add    $0x1,%eax
  40117d:	39 c8                	cmp    %ecx,%eax
  40117f:	75 f5                	jne    401176 <phase_6+0x82>
  401181:	eb 05                	jmp    401188 <phase_6+0x94>
  401183:	ba d0 32 60 00       	mov    $0x6032d0,%edx
  401188:	48 89 54 74 20       	mov    %rdx,0x20(%rsp,%rsi,2)
  40118d:	48 83 c6 04          	add    $0x4,%rsi
  401191:	48 83 fe 18          	cmp    $0x18,%rsi
  401195:	74 14                	je     4011ab <phase_6+0xb7>
  401197:	8b 0c 34             	mov    (%rsp,%rsi,1),%ecx
  ; 判断是不是小于等于1,是的话就跳转到401183
  40119a:	83 f9 01             	cmp    $0x1,%ecx
  40119d:	7e e4                	jle    401183 <phase_6+0x8f>
  40119f:	b8 01 00 00 00       	mov    $0x1,%eax
  4011a4:	ba d0 32 60 00       	mov    $0x6032d0,%edx
  4011a9:	eb cb                	jmp    401176 <phase_6+0x82>
  4011ab:	48 8b 5c 24 20       	mov    0x20(%rsp),%rbx
  4011b0:	48 8d 44 24 28       	lea    0x28(%rsp),%rax
  4011b5:	48 8d 74 24 50       	lea    0x50(%rsp),%rsi
  4011ba:	48 89 d9             	mov    %rbx,%rcx
  4011bd:	48 8b 10             	mov    (%rax),%rdx
  4011c0:	48 89 51 08          	mov    %rdx,0x8(%rcx)
  4011c4:	48 83 c0 08          	add    $0x8,%rax
  4011c8:	48 39 f0             	cmp    %rsi,%rax
  4011cb:	74 05                	je     4011d2 <phase_6+0xde>
  4011cd:	48 89 d1             	mov    %rdx,%rcx
  ; 上述代码相当于把数字作为偏移量,距离链首指定偏移量后的节点的地址, copy 到另外一个地方
  4011d0:	eb eb                	jmp    4011bd <phase_6+0xc9>
  4011d2:	48 c7 42 08 00 00 00 	movq   $0x0,0x8(%rdx)
  4011d9:	00 
  4011da:	bd 05 00 00 00       	mov    $0x5,%ebp
  4011df:	48 8b 43 08          	mov    0x8(%rbx),%rax
  4011e3:	8b 00                	mov    (%rax),%eax
  ; 将当前指针指向的元素和上一个指针指向的元素相比
  4011e5:	39 03                	cmp    %eax,(%rbx)
  4011e7:	7d 05                	jge    4011ee <phase_6+0xfa>
  4011e9:	e8 4c 02 00 00       	call   40143a <explode_bomb>
  4011ee:	48 8b 5b 08          	mov    0x8(%rbx),%rbx
  4011f2:	83 ed 01             	sub    $0x1,%ebp
  4011f5:	75 e8                	jne    4011df <phase_6+0xeb>
  4011f7:	48 83 c4 50          	add    $0x50,%rsp
  4011fb:	5b                   	pop    %rbx
  4011fc:	5d                   	pop    %rbp
  4011fd:	41 5c                	pop    %r12
  4011ff:	41 5d                	pop    %r13
  401201:	41 5e                	pop    %r14
  401203:	c3                   	ret

因此通关payload4 3 2 1 6 5

最终完整通关payload

Border relations with Canada have never been better.
1 2 4 8 16 32
0 207
7 0
9?>567
4 3 2 1 6 5

隐藏关卡

竟然还有隐藏关卡,大意了大意了,当时压根没想到。查看bomb.c文件,我们发现每个phase结束后,都会调用phase_defused这个函数,结合bomb.s文件,在这个函数中先是判断输入的字符串个数是不是6,是的话再继续判断0x603870指向的内容中,前两个是否是数字且第三个字符串是不是DrEvil,是的话即可进入隐藏关卡,因此我们要在第四关输入的字符串后面加上DrEvil,然后第6关结束后,自动进入隐藏关卡。

secret_phase函数如下

0000000000401242 <secret_phase>:
  401242:	53                   	push   %rbx
  401243:	e8 56 02 00 00       	call   40149e <read_line>
  ; 将字符串解析成10进制数字
  401248:	ba 0a 00 00 00       	mov    $0xa,%edx
  40124d:	be 00 00 00 00       	mov    $0x0,%esi
  401252:	48 89 c7             	mov    %rax,%rdi
  401255:	e8 76 f9 ff ff       	call   400bd0 <strtol@plt>
  ; 返回值给rbx
  40125a:	48 89 c3             	mov    %rax,%rbx
  ; 我们输入的数字减一后如果大于0x3e8,就explode_bomb
  40125d:	8d 40 ff             	lea    -0x1(%rax),%eax
  401260:	3d e8 03 00 00       	cmp    $0x3e8,%eax
  401265:	76 05                	jbe    40126c <secret_phase+0x2a>
  401267:	e8 ce 01 00 00       	call   40143a <explode_bomb>
  ; 实际上输入的第一个数字作为fun7的第二个参数
  40126c:	89 de                	mov    %ebx,%esi
  ; 将0x6030f0作为fun7的第一个参数,该地址对应的内容是0x24h
  40126e:	bf f0 30 60 00       	mov    $0x6030f0,%edi
  401273:	e8 8c ff ff ff       	call   401204 <fun7>
  ; 返回值得是2
  401278:	83 f8 02             	cmp    $0x2,%eax
  40127b:	74 05                	je     401282 <secret_phase+0x40>
  40127d:	e8 b8 01 00 00       	call   40143a <explode_bomb>
  401282:	bf 38 24 40 00       	mov    $0x402438,%edi
  401287:	e8 84 f8 ff ff       	call   400b10 <puts@plt>
  40128c:	e8 33 03 00 00       	call   4015c4 <phase_defused>
  401291:	5b                   	pop    %rbx
  401292:	c3                   	ret

我们来看fun7函数

0000000000401204 <fun7>:
  401204:	48 83 ec 08          	sub    $0x8,%rsp
  401208:	48 85 ff             	test   %rdi,%rdi
  ; 如果第一个参数是0,则跳转401238,实际上是返回0xffffffff
  40120b:	74 2b                	je     401238 <fun7+0x34>
  ; 获取第一个参数指向的内容(最开始调用的时候,该值是0x24h)
  40120d:	8b 17                	mov    (%rdi),%edx
  ; 上面获取到的与传进来的第二个参数(最开始调用时候,该值是我们输入的第一个数字)相比,
  ; 如果大于等于第二个参数,则跳转401220
  40120f:	39 f2                	cmp    %esi,%edx
  401211:	7e 0d                	jle    401220 <fun7+0x1c>
  401213:	48 8b 7f 08          	mov    0x8(%rdi),%rdi
  401217:	e8 e8 ff ff ff       	call   401204 <fun7>
  40121c:	01 c0                	add    %eax,%eax
  40121e:	eb 1d                	jmp    40123d <fun7+0x39>
  401220:	b8 00 00 00 00       	mov    $0x0,%eax
  401225:	39 f2                	cmp    %esi,%edx
  401227:	74 14                	je     40123d <fun7+0x39>
  401229:	48 8b 7f 10          	mov    0x10(%rdi),%rdi
  40122d:	e8 d2 ff ff ff       	call   401204 <fun7>
  401232:	8d 44 00 01          	lea    0x1(%rax,%rax,1),%eax
  401236:	eb 05                	jmp    40123d <fun7+0x39>
  ; 返回0xffffffff
  401238:	b8 ff ff ff ff       	mov    $0xffffffff,%eax
  40123d:	48 83 c4 08          	add    $0x8,%rsp
  401241:	c3                   	ret

上面的代码大致等效于

fun7(int *rdi, int rsi){
    if(rdi == 0)return 0xffffffff;
    if(*rdi <= rsi){
        if(*rdi == rsi){
            return 0;
        }else{
            rdi = *(rdi + 16);
            return 2 * fun7(rdi, rsi) + 1;
        }
    }else{
        rdi = *(rdi + 8);
        return 2 * fun7(rdi, rsi);
    }
}

简单分析一下,如果我们不理会return 0xffffffff;这个分支,我们很快就会发现,函数只会有三种分支,一个是0,另一个是递归后乘以2再加1,最后一个是递归后乘以2.

为了使得最终返回2,我们可以使得上一次递归返回值是1,以2*f的方式返回。

为了使得上一次递归返回值是1,我们可以使得上上一次递归返回值是0.以2*f+1的方式返回。

关键是如何使得上上一次递归返回值是0.

我们先看一下0x6030f0开始的内容

0x6030f0 <n1>:      0x0024  0x0000  0x0000  0x0000  0x3110  0x0060  0x0000  0x0000
0x603100 <n1+16>:   0x3130  0x0060  0x0000  0x0000  0x0000  0x0000  0x0000  0x0000
0x603110 <n21>:     0x0008  0x0000  0x0000  0x0000  0x3190  0x0060  0x0000  0x0000
0x603120 <n21+16>:  0x3150  0x0060  0x0000  0x0000  0x0000  0x0000  0x0000  0x0000
0x603130 <n22>:     0x0032  0x0000  0x0000  0x0000  0x3170  0x0060  0x0000  0x0000
0x603140 <n22+16>:  0x31b0  0x0060  0x0000  0x0000  0x0000  0x0000  0x0000  0x0000
0x603150 <n32>:     0x0016  0x0000  0x0000  0x0000  0x3270  0x0060  0x0000  0x0000

假设一开始我们输入的数字是x,我们来看一下调用栈

f(0x6030f0,x)
  |-- 0                    : if x == 0x24h
  |-- 2 * f(0x603130,x) + 1: if x > 0x24h
  |-- 2 * f(0x603110,x)    : if x < 0x24h
我们要走f(0x603110,x)这个分支
f(0x603110,x)
  |-- 0                    : if x == 0x8h
  |-- 2 * f(0x603150,x) + 1: if x > 0x8h
  |-- 2 * f(0x603190,x)    : if x < 0x8h
我们要走f(0x603150,x)这个分支
f(0x603150,x)
  |-- 0                    : if x == 0x16h
  |-- 2 * f(0x603230,x) + 1: if x > 0x16h
  |-- 2 * f(0x603270,x)    : if x < 0x16h
因此我们只要满足x == 0x16h即可

最终完整payload:

Border relations with Canada have never been better.
1 2 4 8 16 32
0 207
7 0 DrEvil
9?>567
4 3 2 1 6 5
22

总结

阅读汇编实际上难度不大,难的是如何将汇编代码反推其逻辑功能,如果是C语言代码,一般可以通过变量名称或者代码结构反推逻辑功能,但是来到了汇编代码层,就困难得多了。

分析汇编过程动静结合的方式尤为重要,对于新手,不建议直接用IDA,因为实际上这些可视化反汇编软件存在一些错误,这些可能给新手带来很多困惑。

强烈推荐安装pwbdbg

历史评论
开始评论