CSAPP lab2 二进制拆弹 binary bombs phase_1

这个实验从开始到完成大概花了三天的时间,由于我们还没有学习编译原理、汇编语言等课程,为了完成这个实验我投机取巧了太多,看了网上很多的解题方法,为了更加深入学习编译反编译,觉得需要从头开始好好梳理一下。这个系列的博客我将按照拆弹个数一个个的分析,应该会有七篇。。。。。。

给出对应于7个阶段的7篇博客

phase_1  https://www.cnblogs.com/wkfvawl/p/10632044.html
phase_2  https://www.cnblogs.com/wkfvawl/p/10636214.html
phase_3  https://www.cnblogs.com/wkfvawl/p/10651205.html
phase_4  https://www.cnblogs.com/wkfvawl/p/10672680.html
phase_5  https://www.cnblogs.com/wkfvawl/p/10703941.html
phase_6  https://www.cnblogs.com/wkfvawl/p/10742405.html
secret_phase  https://www.cnblogs.com/wkfvawl/p/10745307.html

 

解题前准备

Step1将下载的炸弹包拷贝到Linux主机上;

Step2:使用tar -xvf bomb名”进行解压;

 

解压后生成3个文件:

1README:炸弹所属的用户信息;

2bomb:二进制炸弹文件;

3bomb.c:二进制炸弹文件的框架源文件,供解题者参考。

Step3:使用objdump -d bomb对二进制炸弹进行反汇编,并将其保存到一个文本文件中。

 

注:

1、这里将反汇编生成的文件重定向到asm.txt,后续的解题过程均通过分析该文件进行。

2、本例所有的分析过程均在vim中进行,大家可以使用自己熟悉的工具。

phase_1

phase_1要求输入一个字符串,二进制炸弹会判断输入的字符串是否与目标字符串相等。

观察框架源文件bomb.c:

 

从上可以看出:

 

1、首先调用了read_line()函数,用于输入炸弹秘钥,输入放置在char* input中。

2、调用phase_1函数,输入参数即为input,可以初步判断,phase_1函数将输入的input字符串与程序内部的炸弹秘钥进行比较。

因此下一步的主要任务是从asm.txt中查找在哪个地方调用了readline函数以及phase_1函数。

1.1 寻找并分析调用phase_1函数的代码

打开asm.txt,在其中搜索phase_1

 

从上图可以看出一些信息:

1、第330行:调用了read_line函数;read_line的返回结果(char* input)放置在eax累加器寄存器中。(从函数返回的结果一般都放置在eax寄存器中

2、第331行:将read_line函数的返回结果放置在当前esp栈指针寄存在指针指向的栈顶。

3、第332行:在逻辑地址0x8048b47位置调用了phase_1函数。同时也说明了phase_1函数的入口地址为0x8048c00

4、结合前面bomb.c的分析,从上可以看出第331行,是在为调用phase_1准备参数,我们可以分析出此时函数调用栈的情况:

5、从上面可以看出,phase_1函数入口在虚拟地址0x8048c00,下一步需要分析phase_1函数。

 

1.2 phase_1函数分析

asm.txt中寻找8048c00(或者继续寻找phase_1)。

从上图可以看出一些信息:

1、第378行:sub $0x1c, %esp,将函数栈空间扩展了0x1c字节(28个字节)
2、第379行:将0x804a3ec 放置到了esp+4的地方。
3、第381/382行:将input的内容放置到了esp的地方。注:20(%esp)正好是栈中存放input的内容。
4、第383行:调用strings_not_equal函数。
5、显然,第379行以及第381/382行是在为调用strings_not_equal函数准备参数。在调用strings_not_equal函数之前(即382行执行之后,383行执行之前),

函数栈帧变成如下:

 

6、第384行:test %eax %eax,是对eax寄存器里的内容(string_not_equal函数的返回内容)进行位与操作,如果为0,则置zf标志(零标志)为1

7、第385行:是一个je指令,je指令判断zf标志(零标志)为1时(也即strings_not_equal函数返回的是0的情况下),跳转到phase_2 + 0x20的地方,即0x8048c20的地方,说明炸弹拆除成功。否则,call 804939b <explode_bomb>,顾名思义,是爆炸炸弹,即拆除炸弹失败。

8、从上面的分析来看,上图中显示的栈帧中,esp的内容是输入的字符串的首地址,而esp + 4的内容是0x804a3ec,应该是在程序中保存的被比较的字符串(即拆弹字符串)的首地址,而按照strings_not_equal的名字来看,如果是不等,则返回1,等则返回0。如果等,代表输入的拆弹字符串是正确的。

C语言伪代码:

 

int32_t strings_not_equal(int32_t a1, int32_t a2);

void explode_bomb(int32_t a1, int32_t a2);

void phase_1(int32_t a1) {
    int32_t eax2;
    int32_t v3;
    eax2 = strings_not_equal(a1, "Why make trillions when we could make... billions?");
    if (eax2 != 0) {
        explode_bomb(v3, a1);
    }
    return;
}

 

所以下一步应该在运行的时候,查看0x804a3ec地址的内容,这即是我们要输入的拆弹字符串。

但为进一步判断我们上面的分析,下面再大致分析一下strings_not_equal函数。

 

1.3 strings_not_equal函数分析

 

根据上面的代码,可以看出strings_not_equal函数的地址在0x80490ba的地方。搜索80490ba或者strings_not_equal

 

 

 

执行第762 - 765行之后,函数栈帧为:

注意:

 

1、第766行,将esp + 0x14的内容(input(输入字符串首地址))送入到了ebx寄存器,第767行,将esp + 0x18的内容(0x804a3ec)送入到了esi寄存器。验证了我们前面所介绍的0x804a3ec地址所在的地方应该是拆弹字符串所在的首地址。

 2、768-770行:求input字符串的长度,结果送入到edi寄存器。

 3、771-772行:求0x804a3ec字符串的长度,结果保存在eax寄存器中。

 4773行:将1送入edx,通过后面的分析,可以知道edx存放的是返回结果,也即默认返回结果为1,即不等。

5、774-775行:比较edieax的内容,input字符串与0x804a3ec为首地址的字符串长度进行比较,如果不等,则跳转到strings_not_equal + 0x63的地方:0x80490ba + 0x63 = 0x804911d(此地的指令是将edx的内容送入到eax,并返回,注意第773行,edx的内容被赋值为1),也即返回1,代表两个字符串不等

6、后面的汇编代码,是逐一比较两个字符串的内容,如果相等,则返回0,如果不等则返回1

综合前面的分析,以C语言来表示strings_not_equal,其大致含义是:

int32_t string_length(signed char* a1);

int32_t strings_not_equal(signed char* a1, signed char* a2) {
    signed char* ebx3;
    signed char* esi4;
    int32_t eax5;
    int32_t eax6;
    int32_t edx7;
    int32_t eax8;
    int32_t eax9;
    ebx3 = a1;
    esi4 = a2;
    eax5 = string_length(ebx3);
    eax6 = string_length(esi4);
    edx7 = 1;
    if (eax5 != eax6) {
        addr_0x804911d_2:
        return edx7;
    } else {
        eax8 = (int32_t)(uint32_t)(unsigned char)*ebx3;
        if (*(signed char*)&eax8 == 0) {
            edx7 = 0;
            goto addr_0x804911d_2;
        } else {
            if (*(signed char*)&eax8 == *esi4) {
                do {
                    ++ebx3;
                    ++esi4;
                    eax9 = (int32_t)(uint32_t)(unsigned char)*ebx3;
                    if (*(signed char*)&eax9 == 0) 
                        break;
                } while (*(signed char*)&eax9 == *esi4);
                goto addr_0x8049118_8;
            } else {
                edx7 = 1;
                goto addr_0x804911d_2;
            }
        }
    }
    edx7 = 0;
    goto addr_0x804911d_2;
    addr_0x8049118_8:
    edx7 = 1;
    goto addr_0x804911d_2;
}

 

以上C语言代码基本和汇编代码相对应,可以对照理解。

 

1.4 寻找拆弹字符串

 使用objdump --start-address=0x804a3ec -s bomb,即可查看以0x804a3ec开头的段信息。下图是一个示例,我们可以看出0x804a3ec开头的字符串,正是前面找到的拆弹字符串!

从这里我们也可以看出,所有直接硬编码进入代码的字符串,以只读数据的形式存放在只读数据段中。

posted @ 2019-03-31 16:58  王陸  阅读(2484)  评论(2编辑  收藏  举报