BombLab Phase-3 & Phase-4 &Phase-5

最新推荐文章于 2023-08-30 02:22:03 发布
最新推荐文章于 2023-08-30 02:22:03 发布
阅读量5.2k 收藏 26
点赞数 6
文章标签: BomblLab   二级制炸弹
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gease_Gg/article/details/83378171
版权
本文详细分析了BombLab的Phase_3、Phase_4和Phase_5。Phase_3中,输入的两个正整数需满足特定条件才能避免炸弹爆炸;Phase_4的解同样依赖于func4函数的返回值;Phase_5要求输入的第二个数经过循环运算后与第一个数相等。通过对汇编代码的解析,找到了各个阶段的解。
摘要由CSDN通过智能技术生成

导航

 

BombLab Phase-1 & Phase-2

BombLab phase-6 & secret_phase

Phase_3

关于风格改变:因为一段段分析代码可以逻辑清晰有序一点,那么就摒弃了以前先上汇编代码再画栈帧图的方式,我们直接给出函数调用的所有栈帧,这样读者有个大概印象后再看后面的汇编代码会逻辑清晰一点。

  • Phase_3栈帧图

 

  • Scanf栈帧

因为scanf函数是动态链接库的函数,比较特殊,不方便直接查看反汇编,但我们可以画出它的栈帧图如下:

 

 反汇编phase_3函数

1.

开栈

首先,是标准的ebp进栈和栈扩张操作,我们看到栈扩张了40个字节。

之后我们可以看到这段代码将 ebp-0x10 、ebp-0xc 、 0x804a23e 、ebp+8(也就是输入字符串的地址) 依此放在了 esp+0xc、esp+0x8、esp+0x4、esp的位置,把这些值都放在esp上面的位置,我们可以猜想这肯定是为了调用scanf函数用的。

那么0x804a23e是什么?放在scanf上什么作用呢?我们查看下内存:

第一个参数是我们传入的是我们的输入,第二个是“%d %d”,说明我们输入的是两个正整数,存放在了ebp-0x10 、ebp-0xc这两个位置。

 

2.

scanf函数调用返回结果

Scanf函数返回的结果保存在eax中,至于scanf函数返回的结果到底是什么我们之后再谈。现在我们知道返回结果 eax>1 炸弹才不会爆炸。

 

3.

这边说明输入的第一个值一定要<=7,否则就爆炸。

 

4.

我们可以看到这个跳转语句是根据eax的取值进行跳转。而eax里存放的是ebp+0xc地址的值,也就是我们输入的第一个数。那么当我们输入不同的数它将跳转到不同的位置开始。而我们输入的数只可能是 0 1 2 3 4 5 6 7。那么我们依此看看这几个数对应地址存放了什么东西:

我们可以看到是7个地址,而且七个跳转地址分别也可以在程序中找到。

那假设我们输入的是0,那么我们将跳转到0x8048f12的位置。我们从这个位置继续往下运算。

 

5.

我们发现eax赋值完毕后,又进行了跳转。

之后又进行了一些列的加减运算:

Eax=0x314-0x35a+0x2ef-0x216+0x216-0x216+0x216-0x216=147

最后eax中的值为147.之后又进行跳转。

最低0.47元/天 解锁文章
等不到结尾
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSAPP3e - x86-64 assembly code analysis - Bomb Lab: phase 4
Jason ZHANG的博客
06-04 3048
先看看phase_4做了什么: 000000000040100c : 40100c: 48 83 ec 18 sub $0x18,%rsp 401010: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 401015: 48 8d 54 24 08 lea 0x8
深入理解操作系统实验——bomb lab(phase_3)
君陌的博客
11-24 2120
3、对phase_3破解 得到phase_3的汇编代码,开始破解 sub $0x3c,%esp lea 0x28(%esp),%eax mov %eax,0x10(%esp) lea 0x2f(%esp),%eax mov %eax,0xc(%esp) lea 0x24(%esp),%eax mov %eax,0x8(%esp) movl $0x804...
CSAPP 3e: Bomb lab (phase_3)
weixin_33726313的博客
09-14 275
0000000000400f43 <phase_3>: 00f43: 48 83 ec 18 sub $0x18,%rsp 400f47: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 400f4c: 48 8d 54 24 08 lea 0x8...
csapp bomb lab phase_4
qq_36672987的博客
09-11 3041
随着课程的深入,笔者发现实验基本是延续着上课的进程来的,包括之前利用jump table 实现了switch的编译。 这一小节采用的知识点是函数(procedure)与递归(recurison),写到这里,笔者觉得CSAPP课程编排真的挺不错,通过实验来强调知识点,所以说,单单看书必然是事倍功半,因为书势必追求完备性,对初学者而言,很难抓到汇编语言部分的重点,而视频可以稍微集中一下知识点,老师的...
csapp bomb lab phase_3
qq_36672987的博客
09-06 2592
    本文写的是炸弹lab的第三层密码,刚开始解的时候,确实有点摸不着头脑,后来重新看了一遍视频,把当时划水放过的switch重点看了一遍,发现第三重密码其实就是一个switch判断。      正如教授所说,switch在判断条件不稀疏的时候,gcc并不是采用我们第一印象的if-else chain 来进行编译,而是采用了一种叫jump table 的结构来判断。在汇编语言里面,最具有特征的...
BombLab Phase-1 & Phase-2
启示录
10-25 1525
导航 BombLab Phase-3 &amp; Phase-4 &amp;Phase-5   BombLab phase-6 &amp; secret_phase Phase_1 1.观察源代码,看一下输入有哪些 通过观察,我们知道每个phase前面都有一个输入,并且为string类型,我们会将这个string传入phase_1中,所以栈帧中phase_1帧前面应该只有一个参数。...
BombLab phase-6 & secret_phase
启示录
10-25 7024
导航 BombLab Phase-1 &amp; Phase-2 BombLab Phase-3 &amp; Phase-4 &amp;Phase-5 Phase_6 Phase_6栈帧图   Read_six_numbers和sscanf栈帧 由于我们之前在第二次实验已经详细分析过了这两个函数的栈帧,这里我们就不多赘述了,我们知道他们俩的功能是为了读取我们输入的六个数字。   ...
【计组】二进炸弹bomblab Phase1-6
apple_52543376的博客
04-09 2734
bomblab二进炸弹
bomb lab phase 1-4
01-04 280
今天完成了bomb lab的前4个phase,以下为笔记 从main函数调用phase时,传入参数为输入字符串的地址,也就是输入字符串地址存储在%rdi中 phase 1 0000000000400ee0 : 400ee0: 48 83 ec 08 sub $0x8,%rsp 400ee4: be 00 24 40 00 mov
ics lab2-bomblab
05-01
《深入了解计算机系统》lab2-bomblab 利用assembly code破解bomb文件以拆除bomb文件中的炸弹,使用的工具为gdb。
深入理解操作系统实验——bomb lab(phase_4)
君陌的博客
11-24 2608
4、对phase_4破解 得到phase_4的汇编代码,进行破解 sub $0x2c,%esp lea 0x1c(%esp),%eax mov %eax,0xc(%esp) lea 0x18(%esp),%eax mov %eax,0x8(%esp) movl $0x804a483,0x4(%esp) mov 0x30(%esp),%eax mov %...
CSAPP3e - x86-64 assembly code analysis - Bomb Lab: phase 3
Jason ZHANG的博客
05-31 2524
首先来看phase_3的代码 0000000000400f43 : 400f43: 48 83 ec 18 sub $0x18,%rsp 400f47: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 400f4c: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 400f5
CS:APP Bomblab 1-st phase_4
weixin_42194733的博客
01-26 578
接下来就让我们看看第四个函数吧。 phase_4 反汇编 分析 我们还是从头开始看看这段函数做了哪些事情。 首先,sub $0x18,%rsp 开辟了栈空间,%rsp,即栈指针减去0x18(即24),所指向的位置下移24,增加了6个储存空间。 然后,lea 0x8(%rsp),%rcx 将由0x8(%rsp)计算得到的地址 %rsp + 8 存入寄存器 %rcx ,我们假设%rsp + 8该地...
CSAPP 3e: Bomb lab (phase_4)
weixin_33786077的博客
09-14 294
先贴出phase_4的代码: 0000000000400fce <func4>: ;%rdi=num_0;%rsi=0;%rdx=0xe; 400fce: 48 83 ec 08 sub $0x8,%rsp 400fd2: 89 d0 mov %edx,%ea...
CSAPP: Bomb Lab(4)
未选之路
06-29 3228
CSAPP Bomb Lab 隐藏关卡
计算机系统基础课程实验课bomb--phase_4
weixin_56684908的博客
11-21 668
首先还是栈指针减24,应该也是为了存储多个值 然后和phase_3一样,把输入的值放在了%rcx和%rdx 输入格式也和phase_3一样,如图 然后将返回值与2作比较,如果不等于2就爆炸,所以只能输入两个数字 然后将第一个输入值d1与14作比较,如果d1<=14就跳转,否则就爆炸 跳转之后把14放入%edx,0放入%esi,d1放入%edi,并调用函数func4 现在跳到func4继续看反汇编代码 首先栈指针减8,把14放入%eax,并自减0,然后%ecx被放入14,%ecx继续逻辑右移31位,接
二进炸弹bomblab-第三关解析
最新发布
M34_625的博客
08-30 317
二进炸弹bomblab-第三关解析,本文并非速通指南,偏向于如何一步步思考与解题,也许会分析得有些拖沓。且本文为系列文章,一篇只分析一关的破解思路,前文提到的知识点后面不会赘述,分析过的类似的汇编代码段也不会再分析,除非是没见过的结构,所以越往后分析得越少。
CSAPP 二进炸弹 binary bomb lab 3 第三关 ——深入理解计算机系统
Eternitykc的博客
11-25 1373
CSAPP bomb lab3 Phase_3 0000000000400f43 <phase_3>: 400f43: 48 83 ec 18 sub $0x18,%rsp 400f47: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 400f4c: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 400f51: be cf 25 40 00 mov $0x40
混合系统验证:多项式phase-portrait近似方法
"这篇论文探讨了混合自动机的多项式phase-portrait近似技术,由刘保罗、裴海龙和他们的同事共同撰写。混合自动机是验证混合系统安全性的重要工具,而模型转换则是构建可判定或半判定的混合自动机以近似原始混合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值