CS:APP二进制炸弹(bomb lab)拆解

最新推荐文章于 2023-12-07 19:49:03 发布
最新推荐文章于 2023-12-07 19:49:03 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: Csapp c语言 汇编 反编译 文章标签: CS:APP 深入理解计算机科学 二进制炸弹 bomb lab 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deepmind210/article/details/83316486
版权
c语言 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
Csapp
2 篇文章 0 订阅
订阅专栏
汇编
1 篇文章 0 订阅
订阅专栏

准备工作

  1. 首先去CS:APP的cmu官网下载lab2,得到bomb.tar文件,解压bomb.c 和bomb可执行文件.bomb.c是一个包含了bomb主函数逻辑的c文件,可以得知,有phase_1 - phase_6共六关(还有隐藏关卡),代码内的英文注释迷之幽默.大概说,解疯了不关作者的事.
  2. 使用objdump生成bomb的反汇编文件bomb.s .使用vim查看,也可gdb调试时使用生成该函数的汇编,推荐后者,因为关于跳转位置更好查看. 
    objdump -d bomb > bomb.s
disas phase_?

开始解题

  1. phase_1. 
    (gdb) b read_line
Breakpoint 1 at 0x40149e
(gdb) disas phase_1
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>:     sub    $0x8,%rsp
   0x0000000000400ee4 <+4>:     mov    $0x402400,%esi
   0x0000000000400ee9 <+9>:     callq  0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:    test   %eax,%eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
   0x0000000000400ef2 <+18>:    callq  0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    $0x8,%rsp
   0x0000000000400efb <+27>:    retq
End of assembler dump.

     在第3行,可见向%esi移入一个立即数,%esi应该作为第4行string_not_equal的参数之一,我们查看0x402400出的内容.发现是一个字符串,这应该就是phase_1的答案了.

    (gdb) print /s (char *)0x402400
$3 = 0x402400 "Border relations with Canada have never been better."
(gdb) c
Continuing.
Border relations with Canada have never been better.
Phase 1 defused. How about the next one?

     

  2. phase_2

    (gdb) disas phase_2
Dump of assembler code for function phase_2:
   0x0000000000400efc <+0>:	push   %rbp
   0x0000000000400efd <+1>:	push   %rbx
   0x0000000000400efe <+2>:	sub    $0x28,%rsp
   0x0000000000400f02 <+6>:	mov    %rsp,%rsi
   0x0000000000400f05 <+9>:	callq  0x40145c <read_six_numbers>
   0x0000000000400f0a <+14>:	cmpl   $0x1,(%rsp)
   0x0000000000400f0e <+18>:	je     0x400f30 <phase_2+52>
   0x0000000000400f10 <+20>:	callq  0x40143a <explode_bomb>
   0x0000000000400f15 <+25>:	jmp    0x400f30 <phase_2+52>
   0x0000000000400f17 <+27>:	mov    -0x4(%rbx),%eax
   0x0000000000400f1a <+30>:	add    %eax,%eax
   0x0000000000400f1c <+32>:	cmp    %eax,(%rbx)
   0x0000000000400f1e <+34>:	je     0x400f25 <phase_2+41>
   0x0000000000400f20 <+36>:	callq  0x40143a <explode_bomb>
   0x0000000000400f25 <+41>:	add    $0x4,%rbx
   0x0000000000400f29 <+45>:	cmp    %rbp,%rbx
   0x0000000000400f2c <+48>:	jne    0x400f17 <phase_2+27>
   0x0000000000400f2e <+50>:	jmp    0x400f3c <phase_2+64>
   0x0000000000400f30 <+52>:	lea    0x4(%rsp),%rbx
   0x0000000000400f35 <+57>:	lea    0x18(%rsp),%rbp
   0x0000000000400f3a <+62>:	jmp    0x400f17 <phase_2+27>
   0x0000000000400f3c <+64>:	add    $0x28,%rsp
   0x0000000000400f40 <+68>:	pop    %rbx
   0x0000000000400f41 <+69>:	pop    %rbp
   0x0000000000400f42 <+70>:	retq   
End of assembler dump.

     第三行发现在栈中开辟了0x28的内存区域.然后将%rsp的值传给%rsi作为参数传给函数read_six_numbers,可以看出应该使用开辟的空闲内存做数组,记数组为r,读取六个数字.将(%rsp)和0x1比较,如果不等,就会爆炸,(%rsp)为数组首地址,故r[0]=1;跳转到+52,将r[1]地址赋给%rbx,将r[6](不存在)地址赋给%rbp,跳到+27,将%eax设为%rbx指向的前一个数,此时为r[0],比较r[1]和2*r[0]是否相等,不等则爆炸.跳转到+41,%rbx+4,比较%rbx和%rbp,不等跳转到+27,重复,等则跳转到+64结束,成功.可以看出,这是一个循环比较.等价于下面的c语言.

    for(int *b = &r[1]; b != &r[6]; b++)
{
    if(*b != 2 * *(b - 1))
        call bomb;   
}

    答案为1 2 4 8 16 32

    Continuing.
1 2 4 8 16 32
That's number 2.  Keep going!
  3.  phase_3 
       0x0000000000400f51 <+14>:    mov    $0x4025cf,%esi
   0x0000000000400f56 <+19>:    mov    $0x0,%eax
   0x0000000000400f5b <+24>:    callq  0x400bf0 <__isoc99_sscanf@plt>
   0x0000000000400f60 <+29>:    cmp    $0x1,%eax
   0x0000000000400f63 <+32>:    jg     0x400f6a <phase_3+39>
   0x0000000000400f65 <+34>:    callq  0x40143a <explode_bomb>

    向%eax移动了一个地址,我们查看,可知又是输入2个整数,且必须是2个整数。

    (gdb) x/s 0x4025cf
0x4025cf:       "%d %d"

     接下来,对输入的第一个数和0x7做了比较,可知输入第一个数必须小于等于7,然后将第一个数赋给%eax.

       0x0000000000400f6a <+39>:    cmpl   $0x7,0x8(%rsp)
   0x0000000000400f6f <+44>:    ja     0x400fad <phase_3+106>
   0x0000000000400f71 <+46>:    mov    0x8(%rsp),%eax

   0x0000000000400fad <+106>:   callq  0x40143a <explode_bomb>

    观察下面汇编,可知这是一个switch语句,以第一个数作为跳转key,生成一个值,需要和输入的第二个数相等.

       0x0000000000400f75 <+50>:    jmpq   *0x402470(,%rax,8)
   0x0000000000400f7c <+57>:    mov    $0xcf,%eax
   0x0000000000400f81 <+62>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f83 <+64>:    mov    $0x2c3,%eax
   0x0000000000400f88 <+69>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f8a <+71>:    mov    $0x100,%eax
   0x0000000000400f8f <+76>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f91 <+78>:    mov    $0x185,%eax
   0x0000000000400f96 <+83>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f98 <+85>:    mov    $0xce,%eax
   0x0000000000400f9d <+90>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400f9f <+92>:    mov    $0x2aa,%eax
   0x0000000000400fa4 <+97>:    jmp    0x400fbe <phase_3+123>
   0x0000000000400fa6 <+99>:    mov    $0x147,%eax
   0x0000000000400fab <+104>:   jmp    0x400fbe <phase_3+123>

   0x0000000000400fbe <+123>:   cmp    0xc(%rsp),%eax
   0x0000000000400fc2 <+127>:   je     0x400fc9 <phase_3+134>

     我们根据+50的地址判断跳转到何处.输入0,跳转到+57,解出一组答案:0,0xcf;

    0x400f7c <phase_3+57>:  0xb8

    0 207
Halfway there!

    phase_3完成。

  4. phase_4

    由代码易知,开始读入了两个int,放在了%rsp+0x8和%rsp+0xc的位置。且第一个数小于等于14.

     

       0x000000000040100c <+0>:     sub    $0x18,%rsp
   0x0000000000401010 <+4>:     lea    0xc(%rsp),%rcx
   0x0000000000401015 <+9>:     lea    0x8(%rsp),%rdx
   0x000000000040101a <+14>:    mov    $0x4025cf,%esi
   0x000000000040101f <+19>:    mov    $0x0,%eax
   0x0000000000401024 <+24>:    callq  0x400bf0 <__isoc99_sscanf@plt>
   0x0000000000401029 <+29>:    cmp    $0x2,%eax

   0x000000000040102e <+34>:    cmpl   $0xe,0x8(%rsp)
   0x0000000000401033 <+39>:    jbe    0x40103a <phase_4+46>

     进入func4,这是一个递归函数,pahse_4需要func4返回0,不然立即爆炸。第1,2参数为我们输入的2个数,第3参数为0xe;

       0x0000000000400fce <+0>:     sub    $0x8,%rsp
   0x0000000000400fd2 <+4>:     mov    %edx,%eax
   0x0000000000400fd4 <+6>:     sub    %esi,%eax
   0x0000000000400fd6 <+8>:     mov    %eax,%ecx
   0x0000000000400fd8 <+10>:    shr    $0x1f,%ecx
   0x0000000000400fdb <+13>:    add    %ecx,%eax
   0x0000000000400fdd <+15>:    sar    %eax
   0x0000000000400fdf <+17>:    lea    (%rax,%rsi,1),%ecx
   0x0000000000400fe2 <+20>:    cmp    %edi,%ecx
   0x0000000000400fe4 <+22>:    jle    0x400ff2 <func4+36>
   0x0000000000400fe6 <+24>:    lea    -0x1(%rcx),%edx
   0x0000000000400fe9 <+27>:    callq  0x400fce <func4>
   0x0000000000400fee <+32>:    add    %eax,%eax
   0x0000000000400ff0 <+34>:    jmp    0x401007 <func4+57>
   0x0000000000400ff2 <+36>:    mov    $0x0,%eax
   0x0000000000400ff7 <+41>:    cmp    %edi,%ecx
   0x0000000000400ff9 <+43>:    jge    0x401007 <func4+57>
   0x0000000000400ffb <+45>:    lea    0x1(%rcx),%esi
   0x0000000000400ffe <+48>:    callq  0x400fce <func4>
   0x0000000000401003 <+53>:    lea    0x1(%rax,%rax,1),%eax
   0x0000000000401007 <+57>:    add    $0x8,%rsp
   0x000000000040100b <+61>:    retq

     观察代码,令func4为int func4(int a, int b, int c);易知(c - b)  >= 0,故(c - b) >>_l 31 = 0,func4等价于下面c代码。

    int f(int a, int b, int c)
{
    int tmp = (c - b) / 2 + b;
    if(tmp <= a)
    {
        if(tmp == a)
        {
            return 0;
        }
        else
        {
            return f(a, tmp + 1, c) * 2 + 1;
        }
    }
    else
    {
        return f(a, b, tmp - 1) * 2;
    }
}

    回到phase_4,可知第二个数必为0;

       0x0000000000401051 <+69>:    cmpl   $0x0,0xc(%rsp)

    手动穷举或者利用程序穷举,答案为第一个数可以为0, 1, 3, 7

 Phase_5,6去这里.

deepmind210
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制炸弹
05-23
CASPP的实验LAB3,二进制炸弹实验。详细分析了6个炸弹与隐藏函数。并讲解了解答过程。
C51模拟CSGO的C4炸弹小程序
qq2606393744的博客
07-10 4813
cs在计算机中应用,深入理解计算机系统(CS:APP) - Bomb Lab详解
weixin_39927144的博客
07-02 432
本文首发于我的博客Bomb Lab简介BombLabCS:APP中对应第三章内容:程序的机器级表示的lab。主要内容为提供一个二进制对象文件bomb,当运行时,它会要求用户输入六个字符串,如果其中的任何一个不正确,炸弹就会爆炸,输出一行错误信息并向计分服务器提交(自学所用的材料不会向服务器提交信息,但这不代表我们可以随意让炸弹爆炸),学生必须通过反汇编和逆向工程来找到六个正确的字符串来解除自己的...
二进制炸弹--拆弹实验
weixin_46448719的博客
11-01 1万+
二进制炸弹–拆弹实验 这是我们学校计算机系统基础课程的大作业实验,以下是我总结的每一关的通关方法。对于汇编语言的了解还不够深入,解释不好的地方还请大家批评指正。 那,我们就出发吧~ 大作业要求 该大作业为闯关实验,共需破解7关。下载以自己学号命名的<学号>.tar压缩文件,在Debian系统里进行解压缩(例:$tar -xvf 987654321.tar)后,通过对可执行文件bomb反汇编,分析汇编代码并获取相关线索,从而破解每一关的输入内容,完成闯关。 实验一. 字符串比较 phase_0 使
作业_二进制炸弹_手把手教学讲解
热门推荐
cena1001的博客
11-09 2万+
简单的前言 最近的作业有个二进制炸弹问题,具体点说就是使用汇编语言完成一些小问题,形式比较有趣,一起看看吧。 题目描述 实验目的 通过对一个二进制可执行程序(称为“二进制炸弹”)的理解和逆向工程,加深对对程序的机器级表示、汇编语言、调试器和逆向工程等方面知识的理解和掌握。 实验内容 作为实验目标的二进制炸弹“binary bombs” Linux可执行程序包含了多个阶段(或关卡),在每个阶段程序要求你输入一个特定字符串,如果输入满足程序代码所定义的要求,该阶段的炸弹就被拆除了,否则程序输出“炸弹爆炸
CSAPP Lab2 bomblab二进制炸弹
10-22
CSAPP Lab2 bomblab二进制炸弹炸弹实验源代码 深入理解计算机系统课程实验二资料。程序设计与计算机系统课程。
CSAPP二进制炸弹bomb实验报告.docx
01-05
CSAPP 二进制炸弹 Bomb 实验报告 本实验报告主要介绍了 CSAPP 二进制炸弹 Bomb 实验的过程和结果。该实验的目的是让学生学习和掌握二进制炸弹的原理和实现机制,并通过实践实验来提高自己的技能。 Phase_1 代码...
计算机组成原理 二进制炸弹实验资源
03-08
"Bomblab 实验操作指导.pdf"很显然是二进制炸弹实验的具体步骤和指南,它会介绍如何逐步分析和解决每个阶段的炸弹问题,可能会涉及逆向工程、栈帧分析、字符串处理等技术。 最后,"bomb63"可能是一个具体的二进制...
二进制炸弹完整解决过程+源代码
01-16
二进制炸弹(Binary Bomb)是一种在计算机科学和网络安全领域常见的练习或实验,它通常是一个设计为在特定条件下“爆炸”或导致程序崩溃的程序。这个概念源自于教学和安全训练,用来帮助学习者理解程序执行流程、...
CSAPP实验二:二进制炸弹Bomb Lab
CNFINITE的博客
08-11 2万+
本系列文章为中国科学技术大学计算机专业学科基础课《计算机系统》布置的实验,上课所用教材和内容为黑书CSAPP,当时花费很大精力和弯路,现来总结下各个实验,本文章为第二个实验——二进制炸弹Bomb Lab)。 一、实验名称:二进制炸弹 二、实验学时: 3 三、实验内容和目的 1.二进制炸弹包含若干个阶段,每个阶段需要输入特定的字符串,所有输入正确则炸弹被排除,否则….. 任务是找出这些字符串 字符串记录到文件中,可按下列方式验证: ...
哈工大计算机系统Lab2.二进制炸弹
Castria的博客
04-02 8071
给定一个可执行目标文件bomb,共有6个阶段,需要用gdb/objdump等程序分析反汇编,以获取每个阶段对应的密码。若密码输错则炸弹爆炸。其中一个炸弹可以从这里获取。
计算机系统基础实验:二进制拆弹实验
catting的博客
11-20 8602
gdbobjdump。
CSAPP拆弹实验/炸弹实验
weixin_55037029的博客
12-22 5966
最近在学深入理解计算机系统这本书,第三章的实验是拆弹实验,所以记录一下。 拆弹实验总的来说不是很难,主要是要会运用gdb来查看汇编代码和寄存器。 常用的指令: break 设置断点,接函数名或者*地址 x 查看地址中的数据,后面可以接/c(数据为字符串),/d(数据为数字) disas 查看当前函数的汇编代码 i r 查看寄存器的值 stepi n 运行n步(会进入别的函数) nexti n 运行n部(跳过别的函数,只在当前函数) 其他的可以百度找到,炸弹实验用这几个足够了。 每个人的炸
二进制炸弹-拆弹实验
最新发布
ailbj的博客
12-07 1298
0 q 777O05KM11001附录程序的调试过程主要有:单步执行,跳入函数,跳出函数,设置断点,设置观察点,查看变量。本文将主要介绍linux下的强大调试工具是怎么完成这些工作的。之所以要调试程序,是因为程序的运行结果和预期结果不一致,或者程序出现运行时错误。调试的基本思想是:分析现象 -> 假设错误原因 -> 产生新的现象去验证假设调试器(如GDB)的目的是允许你在程序运行时进入到某个程序内部去看看该程序在做什么,或者在该程序崩溃时它在做什么。
计算机系统ARM64拆除炸弹
through312的博客
04-25 2293
一、实验简介 1.1 拆弹实验 拆弹实验是csapp课程的一个经典实验,实验共有六关(phase_1 ... phase_6),还有一个隐藏关卡(secret_phase)。该实验与x86架构下的拆弹实验的内容上基本没有差别,所以以下内容是基于本人已经有过bomb实验的经验而写。 1.2 ARM64 这次实验是面向基于鲲鹏的华为TaiShan 服务器的拆弹实验。这是与之前的计算机系统拆弹实验的不同之处,也是这次实验的难点。在ARMv8处理器下,我们对"bomb"进...
二进制炸弹bomblab-第一关-保姆级教程
M34_625的博客
08-26 2152
BombLab是由CMU(卡内基梅隆大学)推出的。CMU是美国的一所著名私立研究型大学,位于宾夕法尼亚州的匹兹堡市。BombLab是计算机科学领域的一个教育项目,旨在帮助学生学习和理解计算机系统安全和二进制漏洞的概念。该项目通常用于计算机科学相关的课程和实验室,让学生通过解决各种二进制炸弹Bomb)的任务来加深对计算机系统的理解。​ 现今已有多个版本。本文版本为 JMU 22级 ”软件导论“ 课程 实验作业 32位版本。​ “二进制炸弹”是作为目标代码文件提供给学生的程序。
二进制炸弹(深入理解计算机系统)
zhaoyue008的博客
06-02 1332
深入理解计算机系统lab2:bomblab二进制炸弹实验总结
CSAPP二进制拆弹实验
weixin_51633776的博客
12-27 4371
一、实验目的 1、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解; 2、提高分析问题解决问题的能力。 二、实验内容 通过程序反汇编和逆向工程拆除所给的目标代码文件中的二进制炸弹。一个“Binary Bombs”(二进制炸弹)是一个Linux可执行C程序,包含phase1~phase6共6个阶段,即6个炸弹炸弹运行各阶段要求输入一个字符串,若输入符合程序预期,该阶段炸弹被“拆除”,否则“爆炸” 。 本实验要求拆除至少3个炸弹,多则不限。 三、实验工具和环境 软件工具:gdb调试器和ob
Lab2BinaryBombs:逆向工程与二进制炸弹拆除
"这是关于《计算机系统基础实验》中Lab2BinaryBombs实验的介绍,旨在通过逆向工程拆除‘二进制炸弹’程序,提升对程序机器级表示、汇编语言、调试器和逆向工程的理解。实验涵盖从字符串比较到链表操作的多个阶段,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值