CSAPP Lab目录
- Data Lab
- Bomb Lab
- Attack Lab
- Buffer Lab
- Architecture Lab(Y86)
- Cache Lab
- Performance Lab
- Shell Lab
- Malloc Lab
- Proxy Lab
前言
CSAPP Lab完成记录
正文
一、GDB
运行
- gdb bomb 使用 gdb 调试可执行文件 bomb
- r run,运行程序,遇到断点处停止,等待用户输入下一步指令
- c continue,继续执行,到下一个断点(或程序结束) √
- q quit, 退出 gdb 调试 √
- si 单指令执行,即每次只执行一条指令,结合"交互模式下直接回车的作用是重复上一指令,对于单步调试非常方便" √
- n next,单步跟踪程序,遇到函数调用时,不会进入函数体内部
- s step,单步调试,遇到函数调用时,会进入函数体内部
- until 当你厌倦了在一个循环体内部单步跟踪时,这个命令可以运行程序直到退出循环体
- until + 行号 运行至行号处
设置断点
- b n break n,在第 n 行设置断点 √
- b func 在函数 func() 的入口处设置断点 √
- b *地址值 在地址值处设置断点,例如,b *0x401460 √
- i b info b, 显示当前程序的断点设置情况,会给出各个断点的序号,类型等信息
- delete 断点号n 删除第 n 个断点(从 info b 中得出断点序号) √
- disable 断点号n 暂停第 n 个断点
- enable 断点号n 开启第 n 个断点
- delete breakpoints 删除所有断点
分割窗口
- layout regs 显示寄存器和反汇编窗口 √
- layout asm 显示反汇编窗口 √
- layout:用于分割窗口,可以一边查看代码,一边测试。主要有以下几种用法:
- layout src:显示源代码窗口
- layout asm:显示汇编窗口
- ayout regs:显示源代码/汇编和寄存器窗口
- layout split:显示源代码和汇编窗口
- layout next:显示下一个layout
- layout prev:显示上一个layout
- Ctrl + L:刷新窗口
- Ctrl + x,再按1:单窗口模式,显示一个窗口
- Ctrl + x,再按2:双窗口模式,显示两个窗口
- Ctrl + x,再按a:回到传统模式,即退出layout,回到执行layout之前的调试窗口。
显示内容
- x/[count][format] [address] 打印内存值,从所给地址(address)处开始,以指定格式(format)显示 count 个值,例如 x/100i foo 反汇编并打印出从 foo 处开始的 100 条指令 ,常见 format 有 d decimal, x hex, t binary, f floating point, i instruction, c character, s string(以 8bit 字符串形式显示数据)
- i r 寄存器名 , info registers 寄存器名,查看当前某个寄存器的内容,寄存器名前不需要 % ,例如,i r rsi √
- Ctrl + L 清屏,由于 gdb 没有专门的清屏命令,所以用 Linux 自带的。(有的时候不退出 gdb 重新 r 会导致显示内容覆盖,使用这个命令清屏,有可能不好使)
二、实验部分
0. <main>
这一部分内容既可以在main.c中找到,也反汇编objdump -d bomb >> bomb.s
得到二进制文件对应的汇编文件,对应其中main部分,其总体流程为
- 用read_line读取对应的字符串或者数字
- 调用phase_n()函数去到对应的phase阶段
- 调用phase_defused()打印解密完成信息(也给secret_phase留下暗门)
解密开始之前,为了防止炸弹爆炸,需要设置断点b explode_bomb
;同时为了便于解密,创建一个文本文件ans,将每一个阶段得到的答案输入并换行(按enter),每次在gdb中需要重新run的时候只需r ans
即可defuse之前的phase
1. <phase_1>
-
b phase_1
设置断点,然后使用ni
(单步跳过,不进入函数体)或者si
(单步执行,进入函数体)执行命令
-
注意到其调用了函数
string_not_equal
,第一个参数存放在$rdi
,第二个参数在$rsi
中,且由于$rdi
内容没有改变,所以$rdi
和进入<phase_1>时相同,为输入的字符串。根据strings_not_equal
名字不妨猜测其为比较两个字符串是否相同,$rsi
为参照的字符串,所以使用x/s 0x402400
打印字符串得到
-
进入
strings_not_equal
验证猜测,该函数整体流程为:- 对
strings_not_equal(const char *a, const char *b)
,分别调用string_length
判断a,b两个字符串长度,如果不相同,则直接返回1,相同则进入下一步 - 先读取a指针对应一个字符,如果a中字符编码为0(ASCII编码为0),则说明达到字符串末尾,函数退出并返回0;否则读取b中一个字符,进行比较,如果两者相同则指针++,跳转回来并比较下一个字符。
- 对
-
所以输入
Border relations with Canada have never been better.
可以通过phase_1
2. <phase_2>
- 使用
b phase_2
给phase_2打断点,并可用delete n
删除之前的断点,n为info b
中最前面一列的断点号 - 观察phase_2对应的汇编代码,该部分代码核心在于read_six_numbers的调用,可以猜测其是读取6个整数
- 后面一大堆操作实际上是在栈上不断读取数并进行比较,可以看到其要求栈顶元素必须为1;紧接着就是设置了栈上下一个相邻元素地址存放在
$rbx
,所以-0x4($rbx)
就是前一个元素,然后这两个数进行比较,要求栈上下一个元素是上一个元素两倍,所以这是个等差数列。并且猜测得答案为1 2 4 8 16 32 - read_six_numbers()调用了sscanf函数,可以打印输入参数看看,'x/s 0x4025c3`可以发现其要求输入6个整数,这6个整数实际上是存放在栈中的$rsp开始的连续24字节,所以输入1 2 4 8 16 32
3. <phase_3>
- phase_3也调用了sscanf,打印0x4025cf部分的内容得到"%d %d"的内容,所以是输入两个整数
- 0x400f6a 处的 $0x7,0x8(%rsp) 即其后的 ja 0x400fad,表明 0x8(%rsp) 处的值小于或等于 0x7,不妨记为 0xM 的 0x400f75 处的 jmpq 0x402470(,%rax,8) 指令表示直接跳转到 0x402470 + M8 所存储的地址处(而不是 0x402470 + M*8 处!!!)
- 使用命令
x/16x 0x402470
查看从地址 0x402470 处开始的 8 个地址值
对应地址为
- 最后都跳转到两数比较,这里参考了另一个博主的做的表,取以下任意一个组合数字均可(0 207, 1 311,……)
4. <phase_4>
- phase_4同样是输入两个整数,其核心在于func4,调用func4(%rdi, 0 , 14)
- func4(%rdi, %rsi, %rdx)结构如下
int func4(%rdi, %rsi, %rdx){
%ecx = (%rdx-%rsi)>=0 ? 0 :1;
%eax = (%edx-%esi+%ecx)/2;
%ecx = %rax + %rsi;
if(%edi<%edxi){
int ans = func4(%edi, %esi, %rcx-0x1);//即前两个参数不变,
return ans*2;
}
else if(%edi==%edxi)
return 0;
else{
int ans = func(%edi , %ecx+1, %edx);
return 2*ans+1;
}
}
- 保证输出为0,输入为7即可,然后第二个输入的数为0,所以这一部分答案为7 0
5. <phase_5>
phase_5和之前的比对字符串有很多相似的地方,并且我们知道目标字符串为flyers,但是这里有些不同
所以就是需要输入一个字符串,字符串的每个字符的低4位(设为n)作为索引,找到0x4024b0字符串中的对应第n个字符,并且写入到原来的栈中,然后进行比较。
flyers在下面的字符串中对应的索引分别为:0x9, 0xF, 0xE, 0x5, 0x6, 0x7,然后对应ASCII码中低4位为以上序列的字符串,最终答案可以为ionefg
orIONEFG
6. <phase_6>
最复杂的一个phase:
- 从0x4010f4-0x 401174完成的为两轮嵌套循环,虽然也不太理解为什么要这样做这一部分phase_6函数体结构如下,一个个对照应该还是能够看懂
void phase_6(int a[]){
for(int i = 0; i<=5; i++){
if (a[i] - 1> 5)
bomb();
for(int j = i; j<=5;j++){
if(a[j] == a[i])
bomb();
}
}
for(int i = 0; i <=5; i++)
a[i] = 0x7-a[i];
}
- 从0x401176-0x4011a9,这一部分是
- 接下来一部分的操作是将栈中的链表节点重新连接起来
- 最后是进行栈中node大小比较
使用x/x 0x6032d0
得到原node信息
node中按照node->value大小进行排序得到顺序3 4 5 6 7 1 2,但考虑到之前需要7-a[i],所以最终输入序列为4 3 2 1 6 5
7. <secret_phase>
关于如何进入secret_phase可以参考彩蛋发现
我是反汇编之后就知道肯定有一个彩蛋,但是不知道咋触发,参考了这篇文章才知道
这里核心在于0x6030f0的内容,打印查看可以知道,栈中保存的就是树的节点node,node->value, node->left, node->right,所以传入func7的%rdi也是一个地址,不断打印最终可以得到树的完整结构
下图均为16进制
func7()也是一个递归函数,函数体如下
int func7(struct node* p, int a){
if(p->value == a)
return 0;
else if(p->value < a){
p = p->right; // +0x10即为向右更新
int ans = func7(p, a)
return 2*ans+1;
}
else{
p = p->left;// +0x8;
int ans = func7(p, a);
return 2*ans;
}
}
由于返回值必须等于2,并且根节点已经确定,所以需要确定输入值;递归的终止条件是要和节点值相同,所以输入从树的节点值里面选,然后为0x16的时候返回刚好为2(可以计算),所以最终结果为22(十进制)。
三、总结
第6个phase是最折磨人的一个phase,不过在发现栈中是数据结构链表后,就豁然开朗了。总的来说,实验让我深刻理解了栈,函数调用,递归,以及数据结构的内存分布,很有挑战性的一个lab