CSAPP - Bomb Lab

最新推荐文章于 2024-04-22 10:48:56 发布
最新推荐文章于 2024-04-22 10:48:56 发布
阅读量423 收藏
点赞数 2
分类专栏: 深入理解计算机系统 计算机系统 文章标签: 汇编 gdb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WxqHUT/article/details/129424294
版权

介绍:http://csapp.cs.cmu.edu/3e/bomblab.pdf

工具:gdb

gdb手册:http://csapp.cs.cmu.edu/2e/docs/gdbnotes-x86-64.pdf

phase_1

反汇编phase_1函数。

(gdb) disas phase_1
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>: 	sub    $0x8,%rsp 
   0x0000000000400ee4 <+4>: 	mov    $0x402400,%esi
   0x0000000000400ee9 <+9>: 	callq  0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:	test   %eax,%eax
   0x0000000000400ef0 <+16>:	je     0x400ef7 <phase_1+23>
   0x0000000000400ef2 <+18>:	callq  0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:	add    $0x8,%rsp
   0x0000000000400efb <+27>:	retq   
End of assembler dump.

反汇编phase_1函数,input变量作为第一个参数%rdi,立即数$0x402400作为第二个参数%rsi,调用strings_not_equal字符串比较函数,返回值在%rax中。如果等于0跳转到后续代码;否则调用explode_bomb引爆炸弹。

因为输入是字符串,进行字符串比较所以参数1和参数2都是地址,所以%rdi=$0x402400是待比较字符串的地址,查看该地址指向的字符串便是答案。

(gdb) b phase_1
Breakpoint 1 at 0x400ee0
(gdb) b explode_bomb
Breakpoint 2 at 0x40143a
(gdb) r
Starting program: /media/psf/Home/csapp-lab/Bomb-Lab/bomb-handout/bomb 
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
hello

Breakpoint 1, 0x0000000000400ee0 in phase_1 ()
(gdb) stepi
0x0000000000400ee4 in phase_1 ()
(gdb) stepi
0x0000000000400ee9 in phase_1 ()
(gdb) x/s 0x402400
0x402400:	"Border relations with Canada have never been better."

第一个字符串:Border relations with Canada have never been better.

phase_2

反汇编phase_2函数。

(gdb) disas phase_2
Dump of assembler code for function phase_2:
   0x0000000000400efc <+0>: 	push   %rbp
   0x0000000000400efd <+1>: 	push   %rbx
   0x0000000000400efe <+2>: 	sub    $0x28,%rsp 
   0x0000000000400f02 <+6>: 	mov    %rsp,%rsi 
   0x0000000000400f05 <+9>: 	callq  0x40145c <read_six_numbers>
   0x0000000000400f0a <+14>:	cmpl   $0x1,(%rsp)
   0x0000000000400f0e <+18>:	je     0x400f30 <phase_2+52>
   0x0000000000400f10 <+20>:	callq  0x40143a <explode_bomb>
   0x0000000000400f15 <+25>:	jmp    0x400f30 <phase_2+52>
   0x0000000000400f17 <+27>:	mov    -0x4(%rbx),%eax
   0x0000000000400f1a <+30>:	add    %eax,%eax
   0x0000000000400f1c <+32>:	cmp    %eax,(%rbx)
   0x0000000000400f1e <+34>:	je     0x400f25 <phase_2+41>
   0x0000000000400f20 <+36>:	callq  0x40143a <explode_bomb>
   0x0000000000400f25 <+41>:	add    $0x4,%rbx
   0x0000000000400f29 <+45>:	cmp    %rbp,%rbx
   0x0000000000400f2c <+48>:	jne    0x400f17 <phase_2+27>
   0x0000000000400f2e <+50>:	jmp    0x400f3c <phase_2+64>
   0x0000000000400f30 <+52>:	lea    0x4(%rsp),%rbx
   0x0000000000400f35 <+57>:	lea    0x18(%rsp),%rbp
   0x0000000000400f3a <+62>:	jmp    0x400f17 <phase_2+27>
   0x0000000000400f3c <+64>:	add    $0x28,%rsp
   0x0000000000400f40 <+68>:	pop    %rbx
   0x0000000000400f41 <+69>:	pop    %rbp
   0x0000000000400f42 <+70>:	retq   
End of assembler dump.

分配40个字节的空间,调用read_six_nubmers函数,第一个参数%rdi输入字符串地址,第二个参数%rsi栈顶指针。读取6个整数保存在临时分配的栈空间,与1比较,不相等炸弹爆炸,所以第一个整数是1;跳转到<+52>,%rbx=%rsp+4(第二个数的地址)%rbp=%rsp+24(第六个数后的地址),跳转到<+27>,%eax=第一个数%eax=%eax*2%eax%rbx的内存引用比较,也就是第一个数的2倍和第二个数比较,如果不相等炸弹爆炸,可推测第二个数为2;后续类推,每一个数是前一个数的两倍。可以得到1-6个数分别是1、2、4、8、16、32。

但是我们不知道将输入字符串是如何转为相应数,接着看read_six_numbers函数。%rdx=%rsi=之前的栈顶指针%rsp%rcx=之前的栈顶指针%rsp+4%rax=之前的栈顶指针%rsp+20%rax存储到新分配的%rsp+8的位置,%rax=之前的栈顶指针%rsp+16%rax存储到新分配的%rsp的位置,%r9=之前的栈顶指针%rsp+12%r8=之前的栈顶指针%rsp+8%esi=0x4025c3%rax=0,调用sscanf函数,第一个参数%rdi是字符串地址,第二个参数%rsi是格式化字符串,第三个参数%rdx是第一个数地址,第四个参数%rcx是第二个数地址,第五个参数%r8是第三个数地址,第六个参数%r9是第四个数地址,后续使用栈空间存放参数,对应之前两个新写入的栈空间。

(gdb) disas read_six_numbers
Dump of assembler code for function read_six_numbers:
   0x000000000040145c <+0>: 	sub    $0x18,%rsp
   0x0000000000401460 <+4>: 	mov    %rsi,%rdx
   0x0000000000401463 <+7>: 	lea    0x4(%rsi),%rcx
   0x0000000000401467 <+11>:	lea    0x14(%rsi),%rax
   0x000000000040146b <+15>:	mov    %rax,0x8(%rsp)
   0x0000000000401470 <+20>:	lea    0x10(%rsi),%rax
   0x0000000000401474 <+24>:	mov    %rax,(%rsp)
   0x0000000000401478 <+28>:	lea    0xc(%rsi),%r9
   0x000000000040147c <+32>:	lea    0x8(%rsi),%r8
   0x0000000000401480 <+36>:	mov    $0x4025c3,%esi
   0x0000000000401485 <+41>:	mov    $0x0,%eax
   0x000000000040148a <+46>:	callq  0x400bf0 <__isoc99_sscanf@plt>
   0x000000000040148f <+51>:	cmp    $0x5,%eax
   0x0000000000401492 <+54>:	jg     0x401499 <read_six_numbers+61>
   0x0000000000401494 <+56>:	callq  0x40143a <explode_bomb>
   0x0000000000401499 <+61>:	add    $0x18,%rsp
   0x000000000040149d <+65>:	retq   
End of assembler dump.

sscanf函数设置断点,查看0x4025c3的格式化字符串,便可以知道字符串储存6个整数的格式。

(gdb) b *0x000000000040148a
Breakpoint 1 at 0x40148a
(gdb) r
Starting program: /media/psf/Home/csapp-lab/Bomb-Lab/bomb-handout/bomb 
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
Border relations with Canada have never been better.
Phase 1 defused. How about the next one?
hello

Breakpoint 1, 0x000000000040148a in read_six_numbers ()
(gdb) x/s 0x4025c3
0x4025c3:	"%d %d %d %d %d %d"

第二个字符串:1 2 4 8 16 32

phase_3

反汇编phase_3函数。

(gdb) disas phase_3
Dump of assembler code for function phase_3:
   0x0000000000400f43 <+0>: 	sub    $0x18,%rsp
   0x0000000000400f47 <+4>: 	lea    0xc(%rsp),%rcx
   0x0000000000400f4c <+9>: 	lea    0x8(%rsp),%rdx
   0x0000000000400f51 <+14>:	mov    $0x4025cf,%esi
   0x0000000000400f56 <+19>:	mov    $0x0,%eax
   0x0000000000400f5b <+24>:	callq  0x400bf0 <__isoc99_sscanf@plt>
   0x0000000000400f60 <+29>:	cmp    $0x1,%eax
   0x0000000000400f63 <+32>:	jg     0x400f6a <phase_3+39>
   0x0000000000400f65 <+34>:	callq  0x40143a <explode_bomb>
   0x0000000000400f6a <+39>:	cmpl   $0x7,0x8(%rsp)
   0x0000000000400f6f <+44>:	ja     0x400fad <phase_3+106>
   0x0000000000400f71 <+46>:	mov    0x8(%rsp),%eax
   0x0000000000400f75 <+50>:	jmpq   *0x402470(,%rax,8)
   0x0000000000400f7c <+57>:	mov    $0xcf,%eax
   0x0000000000400f81 <+62>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400f83 <+64>:	mov    $0x2c3,%eax
   0x0000000000400f88 <+69>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400f8a <+71>:	mov    $0x100,%eax
   0x0000000000400f8f <+76>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400f91 <+78>:	mov    $0x185,%eax
   0x0000000000400f96 <+83>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400f98 <+85>:	mov    $0xce,%eax
   0x0000000000400f9d <+90>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400f9f <+92>:	mov    $0x2aa,%eax
   0x0000000000400fa4 <+97>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400fa6 <+99>:	mov    $0x147,%eax
   0x0000000000400fab <+104>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400fad <+106>:	callq  0x40143a <explode_bomb>
   0x0000000000400fb2 <+111>:	mov    $0x0,%eax
   0x0000000000400fb7 <+116>:	jmp    0x400fbe <phase_3+123>
   0x0000000000400fb9 <+118>:	mov    $0x137,%eax
   0x0000000000400fbe <+123>:	cmp    0xc(%rsp),%eax
   0x0000000000400fc2 <+127>:	je     0x400fc9 <phase_3+134>
   0x0000000000400fc4 <+129>:	callq  0x40143a <explode_bomb>
   0x0000000000400fc9 <+134>:	add    $0x18,%rsp
   0x0000000000400fcd <+138>:	retq   
End of assembler dump.

查看sscanf的格式字符串,可以得到是字符串是两个整数。

(gdb) b *0x0000000000400f5b
Breakpoint 1 at 0x400f5b
(gdb) r
Starting program: /media/psf/Home/csapp-lab/Bomb-Lab/bomb-handout/bomb 
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
Border relations with Canada have never been better.
Phase 1 defused. How about the next one?
1 2 4 8 16 32
That's number 2.  Keep going!
hello

Breakpoint 1, 0x0000000000400f5b in phase_3 ()
(gdb) x/s 0x4025cf
0x4025cf:	"%d %d"

从字符串中读取两个数后,将第一个数存在%rax中,第一个数小于7否则炸弹爆炸,执行间接跳转指令,跳转位置是0x402470(0,%rax,8)内存指向的位置,观察发现应该是根据第一个数的大小,跳转到后续的每一个小分支代码。

查看0x402470地址的8个四字空间,分别对应后面的跳转位置。例如第二个,0x402470(0,1,8)=0x402478内存指向的位置是0x0000000000400fb9<+118>,执行跳转将第二个数与0x147进行比较,不相等引爆炸弹,则第一个数是1时,第二个数是0x147

(gdb) x/8gx 0x402470
0x402470:	0x0000000000400f7c	0x0000000000400fb9
0x402480:	0x0000000000400f83	0x0000000000400f8a
0x402490:	0x0000000000400f91	0x0000000000400f98
0x4024a0:	0x0000000000400f9f	0x0000000000400fa6

我们可以推出,满足的8个答案。

0 0xcf = 0 207

1 0x137 = 1 311

2 0x2c3 = 2 707

3 0x100 = 3 256

4 0x185 = 4 389

5 0xce = 5 206

6 0x2aa = 6 682

7 0x147 = 7 327

第三个字符串是:1 311

phase_4

反汇编phase_4函数。

(gdb) disas phase_4
Dump of assembler code for function phase_4:
   0x000000000040100c <+0>: 	sub    $0x18,%rsp
   0x0000000000401010 <+4>: 	lea    0xc(%rsp),%rcx
   0x0000000000401015 <+9>: 	lea    0x8(%rsp),%rdx
   0x000000000040101a <+14>:	mov    $0x4025cf,%esi
   0x000000000040101f <+19>:	mov    $0x0,%eax
   0x0000000000401024 <+24>:	callq  0x400bf0 <__isoc99_sscanf@plt>
   0x0000000000401029 <+29>:	cmp    $0x2,%eax
   0x000000000040102c <+32>:	jne    0x401035 <phase_4+41>
   0x000000000040102e <+34>:	cmpl   $0xe,0x8(%rsp)
   0x0000000000401033 <+39>:	jbe    0x40103a <phase_4+46>
   0x0000000000401035 <+41>:	callq  0x40143a <explode_bomb>
   0x000000000040103a <+46>:	mov    $0xe,%edx
   0x000000000040103f <+51>:	mov    $0x0,%esi
   0x0000000000401044 <+56>:	mov    0x8(%rsp),%edi
   0x0000000000401048 <+60>:	callq  0x400fce <func4>
   0x000000000040104d <+65>:	test   %eax,%eax
   0x000000000040104f <+67>:	jne    0x401058 <phase_4+76>
   0x0000000000401051 <+69>:	cmpl   $0x0,0xc(%rsp)
   0x0000000000401056 <+74>:	je     0x40105d <phase_4+81>
   0x0000000000401058 <+76>:	callq  0x40143a <explode_bomb>
   0x000000000040105d <+81>:	add    $0x18,%rsp
   0x0000000000401061 <+85>:	retq   
End of assembler dump.

根据0x4025cf执行的字符串,输入两个整数,我们设为a和b。调用func4(a, 0, 14),调用后检测返回值,如果非0爆炸炸弹,所以函数返回值必须为0。后续的代码表示第二个数b为0.

反汇编func4函数。

(gdb) disas func4
Dump of assembler code for function func4:
   0x0000000000400fce <+0>: 	sub    $0x8,%rsp
   0x0000000000400fd2 <+4>: 	mov    %edx,%eax
   0x0000000000400fd4 <+6>: 	sub    %esi,%eax
   0x0000000000400fd6 <+8>: 	mov    %eax,%ecx
   0x0000000000400fd8 <+10>:	shr    $0x1f,%ecx
   0x0000000000400fdb <+13>:	add    %ecx,%eax
   0x0000000000400fdd <+15>:	sar    %eax
   0x0000000000400fdf <+17>:	lea    (%rax,%rsi,1),%ecx
   0x0000000000400fe2 <+20>:	cmp    %edi,%ecx
   0x0000000000400fe4 <+22>:	jle    0x400ff2 <func4+36>
   0x0000000000400fe6 <+24>:	lea    -0x1(%rcx),%edx
   0x0000000000400fe9 <+27>:	callq  0x400fce <func4>
   0x0000000000400fee <+32>:	add    %eax,%eax
   0x0000000000400ff0 <+34>:	jmp    0x401007 <func4+57>
   0x0000000000400ff2 <+36>:	mov    $0x0,%eax
   0x0000000000400ff7 <+41>:	cmp    %edi,%ecx
   0x0000000000400ff9 <+43>:	jge    0x401007 <func4+57>
   0x0000000000400ffb <+45>:	lea    0x1(%rcx),%esi
   0x0000000000400ffe <+48>:	callq  0x400fce <func4>
   0x0000000000401003 <+53>:	lea    0x1(%rax,%rax,1),%eax
   0x0000000000401007 <+57>:	add    $0x8,%rsp
   0x000000000040100b <+61>:	retq   
End of assembler dump.

将汇编代码翻译成c代码,由于代码逻辑性很低我也花了很久才翻译出来。

int func4(int x, int y, int z) {
   // x in %rdi, y in %rsi, z in %rdx, return in %rax
   int ret = z - y;
   ret = (ret + ret >> 31) >> 1;
   int k = ret + y;

   if (x = k) {
      ret = 0;
   } else if (x > k) {
      ret = func4(x, k + 1, z);
      ret = 2 * ret + 1;
   } else { // case: x < k
      ret = func4(x, y, k - 1);
      ret = 2 * ret;
   }
   return ret;
}

根据之前的要求返回值为0,只有在x=kx<k的情况下满足,在func4(a, 0, 14)中,x=7满足;在func4(a, 0, 6)中,x=3满足;在func4(a, 0, 2)中,x=1`满足。

故答案为7 03 01 0

第四个字符串是3 0

phase_5

反汇编phase_5函数。

(gdb) disas phase_5
Dump of assembler code for function phase_5:
   0x0000000000401062 <+0>: 	push   %rbx
   0x0000000000401063 <+1>: 	sub    $0x20,%rsp
   0x0000000000401067 <+5>: 	mov    %rdi,%rbx
   0x000000000040106a <+8>: 	mov    %fs:0x28,%rax
   0x0000000000401073 <+17>:	mov    %rax,0x18(%rsp)
   0x0000000000401078 <+22>:	xor    %eax,%eax
   0x000000000040107a <+24>:	callq  0x40131b <string_length>
   0x000000000040107f <+29>:	cmp    $0x6,%eax
   0x0000000000401082 <+32>:	je     0x4010d2 <phase_5+112>
   0x0000000000401084 <+34>:	callq  0x40143a <explode_bomb>
   0x0000000000401089 <+39>:	jmp    0x4010d2 <phase_5+112>
   0x000000000040108b <+41>:	movzbl (%rbx,%rax,1),%ecx
   0x000000000040108f <+45>:	mov    %cl,(%rsp)
   0x0000000000401092 <+48>:	mov    (%rsp),%rdx
   0x0000000000401096 <+52>:	and    $0xf,%edx
   0x0000000000401099 <+55>:	movzbl 0x4024b0(%rdx),%edx
   0x00000000004010a0 <+62>:	mov    %dl,0x10(%rsp,%rax,1)
   0x00000000004010a4 <+66>:	add    $0x1,%rax
   0x00000000004010a8 <+70>:	cmp    $0x6,%rax
   0x00000000004010ac <+74>:	jne    0x40108b <phase_5+41>
   0x00000000004010ae <+76>:	movb   $0x0,0x16(%rsp)
   0x00000000004010b3 <+81>:	mov    $0x40245e,%esi
   0x00000000004010b8 <+86>:	lea    0x10(%rsp),%rdi
   0x00000000004010bd <+91>:	callq  0x401338 <strings_not_equal>
   0x00000000004010c2 <+96>:	test   %eax,%eax
   0x00000000004010c4 <+98>:	je     0x4010d9 <phase_5+119>
   0x00000000004010c6 <+100>:	callq  0x40143a <explode_bomb>
   0x00000000004010cb <+105>:	nopl   0x0(%rax,%rax,1)
   0x00000000004010d0 <+110>:	jmp    0x4010d9 <phase_5+119>
   0x00000000004010d2 <+112>:	mov    $0x0,%eax
   0x00000000004010d7 <+117>:	jmp    0x40108b <phase_5+41>
   0x00000000004010d9 <+119>:	mov    0x18(%rsp),%rax
   0x00000000004010de <+124>:	xor    %fs:0x28,%rax
   0x00000000004010e7 <+133>:	je     0x4010ee <phase_5+140>
   0x00000000004010e9 <+135>:	callq  0x400b30 <__stack_chk_fail@plt>
   0x00000000004010ee <+140>:	add    $0x20,%rsp
   0x00000000004010f2 <+144>:	pop    %rbx
   0x00000000004010f3 <+145>:	retq   
End of assembler dump.

在调用string_length函数之后,检查返回值是否为6,可以判断输入的字符串长度为6。后续跳转到<+41>,将字符串的第n个字符赋给%ecx,将%ecx最低位取出赋给%edx%ed&0xf只需要最后4位比特,将0x4024b0地址开始的某个字节赋给%edx,最后存入栈空间中,循环6次也就是根据输入字符串的每个字节,决定从0x4024b0后的某个地址读取字节写入栈空间,最后进行strings_not_equal字符串比较函数,第二个字符串的地址是0x40245e

检查地址0x40245e指向的字符串。

(gdb) x/s 0x40245e
0x40245e:	"flyers"

检查地址0x4024b0附近的内容。

(gdb) x/b 0x4024b0
0x4024b0 <array.3449>:	"maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?"

发现想要的flyers字符在其中,找到其位置。循环中的%edx分别是9 15 14 5 6 7

因为输入的字符串,使用的ascii编码,我们需要利用最后4位构造字符。可以在此基础上+48 = 0011xxxx构成可显示字符。有多种满足的答案,这只是其中一种还可以+64等。

通过查表可以得到答案。

576362535455
9>567

第五个字符串是:9?>567

phase_6

反汇编phase_6函数。

(gdb) disas phase_6
Dump of assembler code for function phase_6:
   0x00000000004010f4 <+0>: 	push   %r14
   0x00000000004010f6 <+2>: 	push   %r13
   0x00000000004010f8 <+4>: 	push   %r12
   0x00000000004010fa <+6>: 	push   %rbp
   0x00000000004010fb <+7>: 	push   %rbx
   0x00000000004010fc <+8>: 	sub    $0x50,%rsp
   0x0000000000401100 <+12>:	mov    %rsp,%r13
   0x0000000000401103 <+15>:	mov    %rsp,%rsi
   0x0000000000401106 <+18>:	callq  0x40145c <read_six_numbers>
   0x000000000040110b <+23>:	mov    %rsp,%r14
   0x000000000040110e <+26>:	mov    $0x0,%r12d
   0x0000000000401114 <+32>:	mov    %r13,%rbp
   0x0000000000401117 <+35>:	mov    0x0(%r13),%eax
   0x000000000040111b <+39>:	sub    $0x1,%eax
   0x000000000040111e <+42>:	cmp    $0x5,%eax
   0x0000000000401121 <+45>:	jbe    0x401128 <phase_6+52>
   0x0000000000401123 <+47>:	callq  0x40143a <explode_bomb>
   0x0000000000401128 <+52>:	add    $0x1,%r12d
   0x000000000040112c <+56>:	cmp    $0x6,%r12d
   0x0000000000401130 <+60>:	je     0x401153 <phase_6+95>
   0x0000000000401132 <+62>:	mov    %r12d,%ebx
   0x0000000000401135 <+65>:	movslq %ebx,%rax
   0x0000000000401138 <+68>:	mov    (%rsp,%rax,4),%eax
   0x000000000040113b <+71>:	cmp    %eax,0x0(%rbp)
   0x000000000040113e <+74>:	jne    0x401145 <phase_6+81>
   0x0000000000401140 <+76>:	callq  0x40143a <explode_bomb>
   0x0000000000401145 <+81>:	add    $0x1,%ebx
   0x0000000000401148 <+84>:	cmp    $0x5,%ebx
   0x000000000040114b <+87>:	jle    0x401135 <phase_6+65>
   0x000000000040114d <+89>:	add    $0x4,%r13
   0x0000000000401151 <+93>:	jmp    0x401114 <phase_6+32>
   0x0000000000401153 <+95>:	lea    0x18(%rsp),%rsi
   0x0000000000401158 <+100>:	mov    %r14,%rax
   0x000000000040115b <+103>:	mov    $0x7,%ecx
   0x0000000000401160 <+108>:	mov    %ecx,%edx
   0x0000000000401162 <+110>:	sub    (%rax),%edx
   0x0000000000401164 <+112>:	mov    %edx,(%rax)
   0x0000000000401166 <+114>:	add    $0x4,%rax
   0x000000000040116a <+118>:	cmp    %rsi,%rax
   0x000000000040116d <+121>:	jne    0x401160 <phase_6+108>
   0x000000000040116f <+123>:	mov    $0x0,%esi
   0x0000000000401174 <+128>:	jmp    0x401197 <phase_6+163>
   0x0000000000401176 <+130>:	mov    0x8(%rdx),%rdx
   0x000000000040117a <+134>:	add    $0x1,%eax
   0x000000000040117d <+137>:	cmp    %ecx,%eax
   0x000000000040117f <+139>:	jne    0x401176 <phase_6+130>
   0x0000000000401181 <+141>:	jmp    0x401188 <phase_6+148>
   0x0000000000401183 <+143>:	mov    $0x6032d0,%edx
   0x0000000000401188 <+148>:	mov    %rdx,0x20(%rsp,%rsi,2)
   0x000000000040118d <+153>:	add    $0x4,%rsi
   0x0000000000401191 <+157>:	cmp    $0x18,%rsi
   0x0000000000401195 <+161>:	je     0x4011ab <phase_6+183>
   0x0000000000401197 <+163>:	mov    (%rsp,%rsi,1),%ecx
   0x000000000040119a <+166>:	cmp    $0x1,%ecx
   0x000000000040119d <+169>:	jle    0x401183 <phase_6+143>
   0x000000000040119f <+171>:	mov    $0x1,%eax
   0x00000000004011a4 <+176>:	mov    $0x6032d0,%edx
   0x00000000004011a9 <+181>:	jmp    0x401176 <phase_6+130>
   0x00000000004011ab <+183>:	mov    0x20(%rsp),%rbx
   0x00000000004011b0 <+188>:	lea    0x28(%rsp),%rax
   0x00000000004011b5 <+193>:	lea    0x50(%rsp),%rsi
   0x00000000004011ba <+198>:	mov    %rbx,%rcx
   0x00000000004011bd <+201>:	mov    (%rax),%rdx
   0x00000000004011c0 <+204>:	mov    %rdx,0x8(%rcx)
   0x00000000004011c4 <+208>:	add    $0x8,%rax
   0x00000000004011c8 <+212>:	cmp    %rsi,%rax
   0x00000000004011cb <+215>:	je     0x4011d2 <phase_6+222>
   0x00000000004011cd <+217>:	mov    %rdx,%rcx
   0x00000000004011d0 <+220>:	jmp    0x4011bd <phase_6+201>
   0x00000000004011d2 <+222>:	movq   $0x0,0x8(%rdx)
   0x00000000004011da <+230>:	mov    $0x5,%ebp
   0x00000000004011df <+235>:	mov    0x8(%rbx),%rax
   0x00000000004011e3 <+239>:	mov    (%rax),%eax
   0x00000000004011e5 <+241>:	cmp    %eax,(%rbx)
   0x00000000004011e7 <+243>:	jge    0x4011ee <phase_6+250>
   0x00000000004011e9 <+245>:	callq  0x40143a <explode_bomb>
   0x00000000004011ee <+250>:	mov    0x8(%rbx),%rbx
   0x00000000004011f2 <+254>:	sub    $0x1,%ebp
   0x00000000004011f5 <+257>:	jne    0x4011df <phase_6+235>
   0x00000000004011f7 <+259>:	add    $0x50,%rsp
   0x00000000004011fb <+263>:	pop    %rbx
   0x00000000004011fc <+264>:	pop    %rbp
   0x00000000004011fd <+265>:	pop    %r12
   0x00000000004011ff <+267>:	pop    %r13
   0x0000000000401201 <+269>:	pop    %r14
   0x0000000000401203 <+271>:	retq   
End of assembler dump.

最后一个关卡的汇编代码非常长,需要耐心解读。

汇编程序的逻辑是:

  1. 从字符串中读取6个数存储在栈空间
  2. 每个整数x大于0小于等于6,且互不相等
  3. 每个整数进行一次x = 7 - x处理
  4. 根据x的值存储一个结点的地址
  5. 将6个结点重新链起来
  6. 链表是数据域递减顺序
(gdb) x/24wx 0x6032d0
0x6032d0 <node1>:	0x0000014c	0x00000001	0x006032e0	0x00000000
0x6032e0 <node2>:	0x000000a8	0x00000002	0x006032f0	0x00000000
0x6032f0 <node3>:	0x0000039c	0x00000003	0x00603300	0x00000000
0x603300 <node4>:	0x000002b3	0x00000004	0x00603310	0x00000000
0x603310 <node5>:	0x000001dd	0x00000005	0x00603320	0x00000000
0x603320 <node6>:	0x000001bb	0x00000006	0x00000000	0x00000000

最终的顺序是3 4 5 6 1 2,还原顺序就是4 3 2 1 6 5

第六个字符串是:4 3 2 1 6 5

总结

该lab还是花了不少时间去阅读汇编代码,在各种跳转中有些眩晕。通过使用gdb调试工具,查看反汇编代码,分析汇编代码和内存分布来找到解题答案。加强了对汇编语言的理解,寄存器的使用,栈空间的使用等。

Ryanw丶
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PB16030899 -朱河勤-csapp-bomb-lab-report.pdf
09-14
PB16030899 -朱河勤-csapp-bomb-lab-report.pdf
CSAPP-Bomblab
SHyyyyyy___的博客
04-20 335
CSAPP-Bomblab实验分享
CSAPP--BOMBLAB实验
qq_53336526的博客
11-28 6389
本实验要求你使用课程所学知识拆除“binary bombs”,增强对程序的机器级表示、汇编语言、调试器和逆向工程等方面原理与技能的掌握。一个“binary bombs”(二进制炸弹,下文将简称为炸弹)是一个Linux可执行程序,包含了6个阶段(或层次、关卡)。炸弹运行的每个阶段要求你输入一个特定字符串,你的输入符合程序预期的输入,该阶段的炸弹就被拆除引信即解除了,否则炸弹“爆炸”打印输出 "BOOM!!!"。实验的目标是拆除尽可能多的炸弹层次。
csapp-bomblab
Wall_e_47的博客
04-24 291
phase_1 (gdb) disas phase_1 Dump of assembler code for function phase_1: 0x08048b90 <+0>: sub $0x1c,%esp;开辟1c栈空间 0x08048b93 <+3>: movl $0x804a1ec,0x4(%esp);用于比较的字符串放到esp+4 0x08048b9b <+11>: mov 0x20(%esp),%eax;
csapp - bomb lab
姬小野的博客
04-11 3562
文章目录使用方法phase 1phase 2phase 3phase 4phase 5phase 6结果展示 使用方法 1、 使用命令 objdump -d bomb > bomb.s,获取可执行文件bomb汇编源码,同时重定向输出到文件bomb.s中。 即可在文件中方便地查看汇编代码 2、 阅读官方文档,得知可以将输入写入到文件中,就不用每次拆炸弹都需要自己从头开始手动输入。 pha...
CSAPP - bomblab phase_2 分析
baiyu33的博客
01-13 1236
而 “输入的数字是6个,第一个数字是1,并且是公比为2的等比数列”这个答案,是在执行了反编译后,自然而然的答案。在分析 phase_2 的汇编代码时, 发现调用了多次 explode_bomb. 比如准备一个非法的输入: 0 1 2 3 4 5, 在仅仅查看 phase_2 汇编代码情况下,直觉会认为应该输出多次 BOOM!在 x86_64 中,栈底位于高地址,栈顶位于低地址,栈增长意味着栈顶向栈底的相反方向延伸, 也就是说新的栈顶的地址值,是变小了,也就是做减法。很明显, 逐句翻译汇编代码遇到了瓶颈。
csapp bomb lab
03-20
csapp bomb lab csapp bomb lab csapp bomb lab csapp bomb lab csapp bomb lab
【BUPT计算机系统基础】CSAPP-lab2-拆解二进制炸弹.docx
03-23
【BUPT计算机系统基础】CSAPP_lab2_拆解二进制炸弹.docx 内容包含:实验文件bomb357+测试文件.c+实验报告
CSAPP bomblab
05-09
CMU的CSAPP课程实验lab系列 bomblab
CSAPP 之 BombLab 详解.doc
07-10
CSAPP 之 BombLab 详解.doc
汇编】指令系统的寻址方式
m0_74209563的博客
04-22 938
指令系统的寻址方式 七种寻址方式简介
起点小说解锁.js
04-27
起点小说解锁.js
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
299-教育行业信息化与数据平台建设分享.pptx
04-27
299-教育行业信息化与数据平台建设分享.pptx
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
时间复杂度的一些相关资源
最新发布
04-27
时间复杂度是计算机科学中用来评估算法效率的一个重要指标。它表示了算法执行时间随输入数据规模增长而变化的趋势。当我们比较不同算法的时间复杂度时,实际上是在比较它们在不同输入规模下的执行效率。 时间复杂度通常用大O符号来表示,它描述了算法执行时间上限的增长率。例如,O(n)表示算法执行时间与输入数据规模n呈线性关系,而O(n^2)则表示算法执行时间与n的平方成正比。当n增大时,O(n^2)算法的执行时间会比O(n)算法增长得更快。 在比较时间复杂度时,我们主要关注复杂度的增长趋势,而不是具体的执行时间。这是因为不同计算机硬件、操作系统和编译器等因素都会影响算法的实际执行时间,而时间复杂度则提供了一个与具体实现无关的评估标准。 一般来说,时间复杂度越低,算法的执行效率就越高。因此,在设计和选择算法时,我们通常希望找到时间复杂度尽可能低的方案。例如,在排序算法中,冒泡排序的时间复杂度为O(n^2),而快速排序的时间复杂度在平均情况下为O(nlogn),因此在处理大规模数据时,快速排序通常比冒泡排序更高效。 总之,时间复杂度是评估算法效率的重要工具,它帮助我们了解算法在不同输入规模下的性
安全承诺书-施工(单位版).docx
04-27
5G通信行业、网络优化、通信工程建设资料
基于Springboot+Vue人口老龄化社区服务与管理平台-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
node-v12.22.6-sunos-x64.tar.xz
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
CSAPP的bomb lab
04-19
CSAPP的bomb lab是CMU(卡内基梅隆大学)计算机系统导论课程(Computer Systems: A Programmer's Perspective)中的一个实验项目。该实验旨在帮助学生理解计算机系统的底层原理和安全性。 在bomb lab中,学生需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值