实验描述
二进制炸弹实际是由C语言源程序生成的可执行目标代码,主程序可参考bomb.c。运行时,会按次序提示用户输入3个不同的字符串。如果输入的字符串有误,炸弹就会“爆炸”,输出一条错误信息。必须通过对可执行程序反汇编和逆向工程判断应该是哪3个数据串,从而拆除“炸弹”。
说明
根据实验规则我应该做bomb8 ,run -t 3 -x 124
然后先是浏览bomb.c文件,该文件主要内容为main函数,主函数的参数列表是int argc, char *argv[],argc 是参数的个数,char *argv[] 是参数的具体内容,argv[0],是程序本身,所以argc的至少是1.
而run -t 3 -x 124就是向程序中转递参数,在bomb.c文件中有对应的转换函数,-t 3 就是总共需要拆3个炸弹,-x 124 就是需要拆的炸弹的编号
然后在Ubuntu中对可执行程序使用GDB Debug.
根据反汇编,设置断点等方法得到结果
实验过程
第一个炸弹phase_1的反汇编内容:
分析:根据<string_not_equal>可大致知道第一个炸弹是判断字符串相等,结合题意可以知道是将输入的字符串和内存中的一个字符串比较,调用该函数时,push了两个值入栈,根据汇编子程序设计,这两个值应该都是该函数的参数,而进行的字符串匹配,所以这两个值应该是两个将要进行比较的字符串的首地址之类
x / 40cb 0x8049d6c
得到的字符如上图,连起来就是 :
The future will be better tomorrow.
这是完整的一个句子,将这个句子输入到炸弹一,然后就通过了
第二个炸弹phase_2的反汇编内容:
分析:通过<read_six_numbers>可以得知这个炸弹是需要输入六个数字,具体是什么数字还需要往下看
<+21> cmp DWORD PTR [esp + 0x8],0x1
如果[esp + 0x8] 中的值不是 0x1的话就会调用<explode_bomb>函数退出程序,所以[esp + 0x8]的值一定是 0x1 也就是1 ,进而进入46 ~80的循环部分,整个循环下来可以得知:
[esp + 0x8] = 1
[esp + 0xc] = 2
[esp + 0x10] = 6
[esp + 0x14] = 24
[esp + 0x18] = 120
[esp + 0x1c] = 720
这样第二个炸弹需要输入的内容就明了了
第三个炸弹phase_4的反汇编内容:
函数的反汇编内容为:
分析:
比较醒目的是__isoc99_sscanf@plt这个函数
该函数仅凭scanf这个词就可以猜测是输入信息的,然后往后看,<+25>
如果eax的值不是1就会直接引爆炸弹,如果是1就会调用这个函数,而这个函数是一个递归函数,函数的出口是 ebx <= 1,在递归函数调用结束后,又有一个比较 eax 和 0x9d80 之间的比较,如果eax 不等于0x9d80 就会引爆炸弹。
再看func4这个函数,调用函数时只用了一个push,所以只有一个参数,这个递归函数的出口是ebx<=1,该函数的功能是:
大致可以用以下c语言来描述
Int Func4(int x)
{
If (x == 1) return 1;
Return x * func4( x - 1);
}
实现了求输入的参数的阶乘。
而phase_4中的eax 必须等于1,这个应该是参数的个数必须是1,否则报错,且输入的参数计算出来的值是0x9d80,对应8的阶乘,输入8果真拆除了炸弹。为了验证这里设置了断点检验,由于不知道前面的eax具体的作用,在第三个炸弹输入的时候输入了两个值,8和15运行结果如下:
断点设置在__isoc99_sscanf@plt后面
根据结果也是能分析出,前面的eax 必须等于1 并不是参数必须只能是一个的意思,为此我还特别再多测试了几个
测试结果如上,只要第一个参数是正确的参数列表的长度好像并没有要求