CS:APP(2) Bomb Lab

CSAPP Lab目录

• Data Lab
• Bomb Lab
• Attack Lab
• Buffer Lab
• Architecture Lab(Y86)
• Cache Lab
• Performance Lab
• Shell Lab
• Malloc Lab
• Proxy Lab

---

---

前言

CSAPP Lab完成记录

---

正文

一、GDB

用法详细介绍
lab解决方案

运行

• gdb bomb 使用 gdb 调试可执行文件 bomb
• r run，运行程序，遇到断点处停止，等待用户输入下一步指令
• c continue，继续执行，到下一个断点(或程序结束) √
• q quit, 退出 gdb 调试 √
• si 单指令执行，即每次只执行一条指令，结合"交互模式下直接回车的作用是重复上一指令，对于单步调试非常方便" √
• n next，单步跟踪程序，遇到函数调用时，不会进入函数体内部
• s step，单步调试，遇到函数调用时，会进入函数体内部
• until 当你厌倦了在一个循环体内部单步跟踪时，这个命令可以运行程序直到退出循环体
• until + 行号 运行至行号处

设置断点

• b n break n，在第 n 行设置断点 √
• b func 在函数 func() 的入口处设置断点 √
• b *地址值 在地址值处设置断点，例如，b *0x401460 √
• i b info b, 显示当前程序的断点设置情况，会给出各个断点的序号，类型等信息
• delete 断点号n 删除第 n 个断点(从 info b 中得出断点序号) √
• disable 断点号n 暂停第 n 个断点
• enable 断点号n 开启第 n 个断点
• delete breakpoints 删除所有断点

分割窗口

• layout regs 显示寄存器和反汇编窗口 √
• layout asm 显示反汇编窗口 √
• layout：用于分割窗口，可以一边查看代码，一边测试。主要有以下几种用法：
• layout src：显示源代码窗口
• layout asm：显示汇编窗口
• ayout regs：显示源代码/汇编和寄存器窗口
• layout split：显示源代码和汇编窗口
• layout next：显示下一个layout
• layout prev：显示上一个layout
• Ctrl + L：刷新窗口
• Ctrl + x，再按1：单窗口模式，显示一个窗口
• Ctrl + x，再按2：双窗口模式，显示两个窗口
• Ctrl + x，再按a：回到传统模式，即退出layout，回到执行layout之前的调试窗口。

显示内容

• x/[count][format] [address] 打印内存值，从所给地址(address)处开始，以指定格式(format)显示 count 个值，例如 x/100i foo 反汇编并打印出从 foo 处开始的 100 条指令 ，常见 format 有 d decimal, x hex, t binary, f floating point, i instruction, c character, s string(以 8bit 字符串形式显示数据)
• i r 寄存器名 , info registers 寄存器名，查看当前某个寄存器的内容，寄存器名前不需要 % ，例如，i r rsi √
• Ctrl + L 清屏，由于 gdb 没有专门的清屏命令，所以用 Linux 自带的。(有的时候不退出 gdb 重新 r 会导致显示内容覆盖，使用这个命令清屏，有可能不好使)

---

二、实验部分

0. <main>

这一部分内容既可以在main.c中找到，也反汇编objdump -d bomb >> bomb.s得到二进制文件对应的汇编文件，对应其中main部分，其总体流程为

1. 用read_line读取对应的字符串或者数字
2. 调用phase_n()函数去到对应的phase阶段
3. 调用phase_defused()打印解密完成信息（也给secret_phase留下暗门）

解密开始之前，为了防止炸弹爆炸，需要设置断点b explode_bomb；同时为了便于解密，创建一个文本文件ans，将每一个阶段得到的答案输入并换行（按enter），每次在gdb中需要重新run的时候只需r ans即可defuse之前的phase

---

1. <phase_1>

• b phase_1设置断点，然后使用ni（单步跳过，不进入函数体）或者si（单步执行，进入函数体）执行命令
  

• 注意到其调用了函数string_not_equal，第一个参数存放在$rdi，第二个参数在$rsi中，且由于$rdi内容没有改变，所以$rdi和进入<phase_1>时相同，为输入的字符串。根据strings_not_equal名字不妨猜测其为比较两个字符串是否相同，$rsi为参照的字符串，所以使用x/s 0x402400打印字符串得到
  

• 进入strings_not_equal验证猜测，该函数整体流程为：

  1. 对strings_not_equal(const char *a, const char *b),分别调用string_length判断a，b两个字符串长度，如果不相同，则直接返回1，相同则进入下一步
  2. 先读取a指针对应一个字符，如果a中字符编码为0（ASCII编码为0），则说明达到字符串末尾，函数退出并返回0；否则读取b中一个字符，进行比较，如果两者相同则指针++，跳转回来并比较下一个字符。

• 所以输入Border relations with Canada have never been better.可以通过phase_1

---

2. <phase_2>

• 使用b phase_2给phase_2打断点，并可用delete n删除之前的断点，n为info b中最前面一列的断点号
• 观察phase_2对应的汇编代码，该部分代码核心在于read_six_numbers的调用，可以猜测其是读取6个整数
  
• 后面一大堆操作实际上是在栈上不断读取数并进行比较，可以看到其要求栈顶元素必须为1；紧接着就是设置了栈上下一个相邻元素地址存放在$rbx，所以-0x4($rbx)就是前一个元素，然后这两个数进行比较，要求栈上下一个元素是上一个元素两倍，所以这是个等差数列。并且猜测得答案为1 2 4 8 16 32
• read_six_numbers()调用了sscanf函数，可以打印输入参数看看，'x/s 0x4025c3`可以发现其要求输入6个整数，这6个整数实际上是存放在栈中的$rsp开始的连续24字节，所以输入1 2 4 8 16 32
  

---

3. <phase_3>

• phase_3也调用了sscanf，打印0x4025cf部分的内容得到"%d %d"的内容，所以是输入两个整数
• 0x400f6a 处的 $0x7,0x8(%rsp) 即其后的 ja 0x400fad，表明 0x8(%rsp) 处的值小于或等于 0x7，不妨记为 0xM 的 0x400f75 处的 jmpq 0x402470(,%rax,8) 指令表示直接跳转到 0x402470 + M8 所存储的地址处(而不是 0x402470 + M*8 处!!!)
  
• 使用命令 x/16x 0x402470 查看从地址 0x402470 处开始的 8 个地址值
  
  对应地址为
  
• 最后都跳转到两数比较，这里参考了另一个博主的做的表，取以下任意一个组合数字均可（0 207， 1 311，……）
  

---

4. <phase_4>

• phase_4同样是输入两个整数，其核心在于func4，调用func4(%rdi, 0 , 14)
• func4(%rdi, %rsi, %rdx)结构如下

int func4(%rdi, %rsi, %rdx){
	%ecx = (%rdx-%rsi)>=0 ? 0 :1;
	%eax = (%edx-%esi+%ecx)/2;
	%ecx = %rax + %rsi;
	if(%edi<%edxi){
		int ans = func4(%edi, %esi, %rcx-0x1);//即前两个参数不变，
		return ans*2;
	}
	else if(%edi==%edxi)
		return 0;
	else{
		int ans = func(%edi , %ecx+1, %edx);
		return 2*ans+1;
	}
}

• 保证输出为0，输入为7即可，然后第二个输入的数为0，所以这一部分答案为7 0

---

5. <phase_5>

phase_5和之前的比对字符串有很多相似的地方，并且我们知道目标字符串为flyers，但是这里有些不同

所以就是需要输入一个字符串，字符串的每个字符的低4位（设为n）作为索引，找到0x4024b0字符串中的对应第n个字符，并且写入到原来的栈中，然后进行比较。
flyers在下面的字符串中对应的索引分别为：0x9, 0xF, 0xE, 0x5, 0x6, 0x7，然后对应ASCII码中低4位为以上序列的字符串，最终答案可以为ionefgorIONEFG

---

6. <phase_6>

最复杂的一个phase：

• 从0x4010f4-0x 401174完成的为两轮嵌套循环，虽然也不太理解为什么要这样做这一部分phase_6函数体结构如下,一个个对照应该还是能够看懂

void phase_6(int a[]){
	for(int i = 0; i<=5; i++){
		if (a[i] - 1> 5) 
			bomb();
		for(int j = i; j<=5;j++){
			if(a[j] == a[i]) 
				bomb();
		}
	}
	for(int i = 0; i <=5; i++)
		a[i] = 0x7-a[i];
}

• 从0x401176-0x4011a9，这一部分是
  
• 接下来一部分的操作是将栈中的链表节点重新连接起来
  
• 最后是进行栈中node大小比较
  
  使用x/x 0x6032d0得到原node信息
  
  node中按照node->value大小进行排序得到顺序3 4 5 6 7 1 2，但考虑到之前需要7-a[i]，所以最终输入序列为4 3 2 1 6 5

---

7. <secret_phase>

关于如何进入secret_phase可以参考彩蛋发现
我是反汇编之后就知道肯定有一个彩蛋，但是不知道咋触发，参考了这篇文章才知道

这里核心在于0x6030f0的内容，打印查看可以知道，栈中保存的就是树的节点node，node->value, node->left, node->right,所以传入func7的%rdi也是一个地址，不断打印最终可以得到树的完整结构

下图均为16进制

func7()也是一个递归函数，函数体如下

int func7(struct node* p, int a){
	if(p->value == a) 
		return 0;
	else if(p->value < a){
		p = p->right; // +0x10即为向右更新
		int ans = func7(p, a)
		return 2*ans+1;
	}
	else{
		p = p->left;// +0x8;
		int ans = func7(p, a);
		return 2*ans;
	}
}

由于返回值必须等于2，并且根节点已经确定，所以需要确定输入值；递归的终止条件是要和节点值相同，所以输入从树的节点值里面选，然后为0x16的时候返回刚好为2（可以计算），所以最终结果为22（十进制）。

---

三、总结

第6个phase是最折磨人的一个phase，不过在发现栈中是数据结构链表后，就豁然开朗了。总的来说，实验让我深刻理解了栈，函数调用，递归，以及数据结构的内存分布，很有挑战性的一个lab