CS:APP bomblab 的逆向结果
https://csapp.cs.cmu.edu/3e/bomb.tar
输入命令 objdump -s -S -d -M att bomb > bomb.s
进行反汇编。
Phase 1
对
进行逆向: 1
2
3
4
5void phase_1(char str[]) {
if (strings_not_equal(str, "Border relations with Canada have never been better.") != 0) {
explode_bomb();
}
}
函数将炸弹引爆; 函数接受两个字符串作为参数,在两者不相等时返回 ,否则返回 。
显然,输入应为
Border relations with Canada have never been better.
。
Phase 2
逆向工程循环的一些技巧:
- 框选出循环范围,将跳转指令的操作数由地址改成标号;
- 大致理解代码执行顺序,可以用 gdb 辅助;
- 尝试移动整段代码,并修改相应的跳转指令;
- 最终使之符合任意一种通用策略。
例如,地址
至
的汇编代码: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16400f0a: 83 3c 24 01 cmpl $0x1,(%rsp)
400f0e: 74 20 je 400f30 <phase_2+0x34>
400f10: e8 25 05 00 00 call 40143a <explode_bomb>
400f15: eb 19 jmp 400f30 <phase_2+0x34>
400f17: 8b 43 fc mov -0x4(%rbx),%eax
400f1a: 01 c0 add %eax,%eax
400f1c: 39 03 cmp %eax,(%rbx)
400f1e: 74 05 je 400f25 <phase_2+0x29>
400f20: e8 15 05 00 00 call 40143a <explode_bomb>
400f25: 48 83 c3 04 add $0x4,%rbx
400f29: 48 39 eb cmp %rbp,%rbx
400f2c: 75 e9 jne 400f17 <phase_2+0x1b>
400f2e: eb 0c jmp 400f3c <phase_2+0x40>
400f30: 48 8d 5c 24 04 lea 0x4(%rsp),%rbx
400f35: 48 8d 6c 24 18 lea 0x18(%rsp),%rbp
400f3a: eb db jmp 400f17 <phase_2+0x1b>1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20 cmpl $0x1,(%rsp)
je .L3
call explode_bomb
jmp .L3
.L1:
mov -0x4(%rbx),%eax
add %eax,%eax
cmp %eax,(%rbx)
je .L2
call explode_bomb
.L2:
add $0x4,%rbx
cmp %rbp,%rbx
jne .L1
jmp .end
.L3:
lea 0x4(%rsp),%rbx
lea 0x18(%rsp),%rbp
jmp .L1
.end:
- 执行至第 2 行,若不跳转则炸弹引爆,若跳转则从 继续执行;
- 跳转至 ;
- 执行至第 9 行,若不跳转则炸弹引爆,若跳转则从 继续执行;
- 执行至第 14 行,若不跳转则回到步骤 2,若跳转则循环结束。
第三步,整理代码:
- 第 4 行没有意义,删除;
- 将
至
之间代码移动到
之前,删除多余的跳转(在结果中用括号呈现)。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19cmpl $0x1,(%rsp)
je .L3
call explode_bomb
.L3:
lea 0x4(%rsp),%rbx
lea 0x18(%rsp),%rbp
(jmp .L1)
.L1:
mov -0x4(%rbx),%eax
add %eax,%eax
cmp %eax,(%rbx)
je .L2
call explode_bomb
.L2:
add $0x4,%rbx
cmp %rbp,%rbx
jne .L1
(jmp .end)
(.end:)
最后,这段汇编已经相当容易理解,在此基础上逆向得到:
1
2
3
4
5
6
7
8
9
10
11
12
13
14void phase_2(char str[]) {
int x[6];
read_six_numbers(x);
if (x[0] != 1) {
explode_bomb();
} else {
for (int i = 1; i < 6; i++) {
if (x[i] != x[i - 1] * 2) {
explode_bomb();
}
}
}
}
读入 6 个整数,并依次存贮到 至 `。
由此可知,输入应为 1 2 4 8 16 32
。
Phase 3
这个 phase 包含一个跳转表,逆向为
语句: 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39void phase_3(char str[]) {
int x, y;
if (sscanf(str, "%d %d", &x, &y) <= 1) {
explode_bomb();
}
if (x > 7 || x < 0) {
explode_bomb();
}
int z;
switch (x) {
case 0:
z = 0xcf;
break;
case 2:
z = 0x2c3;
break;
case 3:
z = 0x100;
break;
case 4:
z = 0x185;
break;
case 5:
z = 0xce;
break;
case 6:
z = 0x2aa;
break;
case 7:
z = 0x147;
break;
default:
z = 0x137;
}
if (y != z) {
explode_bomb();
}
}
Phase 4
地址
至
的汇编代码是原书 2.3.7 中提到的补码数除以 2 的幂的方法的一个实现。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26int func4(int x, int y, int z) {
int mid = y + (z - y) / 2;
if (mid <= x) {
if (mid >= x) {
return 0;
} else {
return 2 * func4(x, mid + 1, z) + 1;
}
} else {
return 2 * func4(x, y, mid - 1);
}
}
void phase_4(char str[]) {
int x, y;
if (sscanf(str, "%d %d", &x, &y) != 2) {
explode_bomb();
}
if (x > 15 || x < 0) {
explode_bomb();
}
if (func4(x, 0, 15) != 0 || y != 0) {
explode_bomb();
}
}
Phase 5
1 | void phase_5(char str[]) { |
一个可行的输入是 9?>567
。
Phase 6
对复杂变量数组的逆向技巧: - 通过观察汇编代码或数据确定一个数据类型的字长; - 判断该数据类型是结构()还是联合(); - 分别确定其各个组成部分是否为指针,若非指针,字长是多少。
例如,以地址
开头的一段内存,取出一段观察: 1
2
3
46032d0 4c010000 01000000 e0326000 00000000 L........2`.....
6032e0 a8000000 02000000 f0326000 00000000 .........2`.....
6032f0 9c030000 03000000 00336000 00000000 .........3`.....
603300 b3020000 04000000 10336000 00000000 .........3`.....
对于全局变量,还需填入初始值。 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55struct chain_node {
int val;
int id;
struct chain_node *next;
} c[6] = {{0x014c, 1, &c[1]},
{0x00a8, 2, &c[2]},
{0x039c, 3, &c[3]},
{0x02b3, 4, &c[4]},
{0x01dd, 5, &c[5]},
{0x01bb, 6}};
void phase_6(char str[]) {
int x[6];
read_six_numbers(x);
for (int i = 0; ; i++) {
if (x[i] <= 0 || x[i] > 6) {
explode_bomb();
}
if (i == 5) {
break;
}
for (int j = i + 1; j < 6; j++) {
if (x[i] == x[j]) {
explode_bomb();
}
}
}
for (int i = 0; i < 6; i++) {
x[i] = 7 - x[i];
}
struct chain_node *y[6];
for (int i = 0; i < 6; i++) {
chain_node *p = c[0];
for (int j = 1; j < x[i]; j++) {
p = p->next;
}
y[i] = p;
}
for (int i = 1; i < 6; i++) {
y[i - 1]->next = y[i];
}
y[5]->next = NULL;
chain_node *p = y[0];
for (int i = 5; i > 0; i--) {
if (p->val < p->next->val) {
explode_bomb();
}
p = p->next;
}
}4 3 2 1 6 5
。
进入 Secret Phase
唯一对
的调用位于
中。观察
,在
(每次调用
都会使它加 1)等于 6,即完成 Phase 6 后的调用时,该函数从以地址
开头的字符串中先后提取了两个整数和一个字符串,并检查提取的字符串是否与
DrEvil
相等,若相等,则调用
。
这个地址并没有在其他任何地方出现过,但是在
和
中,出现了地址
。对这两个函数逆向,大致如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17char input[MAXLEN]; // 0x603780
int num_input_strings = 0;
FILE *infile;
int skip() {
fgets(input + 90 * num_input_strings, 90, infile);
...
}
char* read_line() {
...
char *start = input + 90 * num_input_strings;
...
num_input_strings++;
...
return start;
}MrEvil
,我们就能够进入 Secret Phase。
Secret Phase
1 | struct tree_node { |
结合二叉搜索树知识,输入应为 22。
CS:APP bomblab 的逆向结果