HIT 计统实验2 二进制炸弹(gdb破解版) 拆弹过程

旅僧

已于 2024-02-18 17:31:24 修改

阅读量4.3k

点赞数 22

文章标签： linux 运维服务器

于 2023-04-09 20:39:39 首次发布

本文链接：https://blog.csdn.net/qq_62260432/article/details/130033945

版权

hit-CSAPP-计算机系统专栏收录该内容

3 篇文章 13 订阅

订阅专栏

文章详细介绍了CSAPP实验中的第二章内容，包括使用CodeBlocks和EDB在Ubuntu下进行程序的反汇编和调试，以及如何解决不同阶段的炸弹程序，涉及汇编语言、调试技巧和程序分析。读者可以学习到如何利用gdb进行单步调试，理解汇编代码与C语言的交互，以及通过调试工具分析程序行为来解密密码。

摘要由CSDN通过智能技术生成

CSAPP 实验2是一个很好玩的实验,网上有很多参考资源写的都很好，本文增加了一些具体细节。

想要我的炸弹可以私信我。炸弹6 7 有时间再拆

明明内容都是自己写的但是为什么CSDN说版权问题不通过，很难理解。

gdb调试笔记（持续更新）_gdb step out_Zerg Wang的博客-CSDN博客

补充 gdb单步运行的方法: 找到函数断点然后si单步进行

第1章实验基本信息

1.1 实验目的

熟练掌握计算机系统的ISA指令系统与寻址方式
熟练掌握Linux下调试器的反汇编调试跟踪分析机器语言的方法
增强对程序机器级表示、汇编语言、调试器和逆向工程等的理解

1.2 实验环境与工具

1.2.1 硬件环境

Intel 10850H x86_64

1.2.2 软件环境

Ubuntu 20.04

1.2.3 开发工具

Vim、gdb、visual studio

1.3 实验预习

认真学习gdb的用法与汇编语言相关知识

了解一些cmd指令,比如看计算器 cmd+calc

cmd命令以及用法大全_cmd命令操作_qq_38196334的博客-CSDN博客

第2章实验环境建立

2.1 Ubuntu下CodeBlocks反汇编（10分）

CodeBlocks运行hello.c。反汇编查看printf函数的实现。

要求：C、ASM、内存(显示hello等内容)、堆栈（call printf前）、寄存器同时在一个窗口。

注意:如果想调试的话必须建立工程,血的教训!!!!

测试代码:

#include<stdio.h>
int m = 0;

int r = 3;

int sum(int x1,int x2,int x3,int x4, int x5,int x6,int x7,int x8){
    return x1+x2+x3+x4+x5+x6+x7+x8;
}

int main(){
    m = m/r;
    m = sum(1,2,3,4,5,6,7,8);
    printf("%d\n",m);
    const char* a= "Hello-2021112114-lyx";
    printf("Hello-202111-xiaoyu");
}

进行调试:

查看变量m的值:

如图所示(橙色荧光标注),由于数据在计算机中采用小端存储,所以是0000000..24（十六进制)
转换成十进制就是36

查看字符串2021112114-lyx:

方法1:字符串在字符串表里，你这个是字符串常量，它的值是个const char*，你如果想看可以用一个const char*指向它然后查一下这个地址

方法2:通过rip查找，也就是查看PC的值,然后去访问那个地址,把字节开到最大就能找到字符串。

将rip的地址输入，把字节调到最大就能找到，这里显示的是printf中的参数,不是const char *的参数,一个是字符库一个是位于数据区和代码区

本来想拿edb看虚拟地址，但是有保护机制，每次运行的虚拟地址不一样。

2.2 Ubuntu下EDB运行环境建立（10分）

用EDB调试hello.c的执行文件，截图，要求同2.1

gcc hello.c
edb --run a.out

点完run 以后一直step into 不要问为什么QWQ

第3章各阶段炸弹破解与分析

前几阶段的密码：防止笔误

I was trying to give Tina Fey more material.
0 1 1 2 3 5
3 g 207
14 7
5 115

每阶段30分，密码10分，分析20分，总分不超过80分

汇编器将汇编代码翻译成二进制指令

cd 到所在文件夹
gdb bomb
b phase_1 #设置断点
run
ni 单步运行一句 ni 2单步运行两句
layout asm 调试查看方便一些

objdump -d ./bomb > bomb.s
翻译成汇编代码

3.1 阶段1的破解与分析

密码如下：I was trying to give Tina Fey more material.(注意标点).

破解过程:

调用了string not equal函数,如果不相等,就跳转到炸弹爆炸函数,推测比较的字符串在寄存器里，此外可以看到两个push将参数入栈，是为strings_not_equal()准备的。根据函数名，可以知道这个函数是在比较两个字符串是否相等，所以push的很有可能就是一个答案字符串所在地址(如果是程序自带的变量包括字符串等都会在.rodata部分，所以压栈时会直接压入对应地址，另一个来自标准输入的字符串地址。所以利用gdb查看输入和比较的字符串。

3.2 阶段2的破解与分析

密码如下：0 1 1 2 3 5

破解过程：光看汇编代码就能破解。

根据汇编代码推测，第一个参数的位置在$rbp-0x30(位置) 第二个参数在$rbp-0x2c(44)的位置根据规律依次减少四,存入参数地址。首先判断第一个和第二个数是不是0和1，ebx相当于计数器i记录循环的标志,-0x30(%rbp,%rax,4)相当于数组是输入的参数以偏移量的形式展示。$rdx和$ebx是相等的，ecx比eax少1,显示不同顺序的参数，由add -0x30(%rbp,%rcx,4),%eax相当于一个斐波那契数列，递归的起点是0 1，递推式是fib(n) = fib(n-1)+fib(n-2)

0000000000401414 <phase_2>:
  401414:	55                   	push   %rbp
  401415:	48 89 e5             	mov    %rsp,%rbp
  401418:	53                   	push   %rbx
  401419:	48 83 ec 28          	sub    $0x28,%rsp
  40141d:	48 8d 75 d0          	lea    -0x30(%rbp),%rsi
  401421:	e8 c8 05 00 00       	call   4019ee <read_six_numbers>
  401426:	83 7d d0 00          	cmpl   $0x0,-0x30(%rbp)	        //第一个数是不是0
  40142a:	75 06                	jne    401432 <phase_2+0x1e>    //不相等或者不为0
  40142c:	83 7d d4 01          	cmpl   $0x1,-0x2c(%rbp)		//同理
  401430:	74 05                	je     401437 <phase_2+0x23>	//如果第二个参数不是1引爆炸弹
  401432:	e8 95 05 00 00       	call   4019cc <explode_bomb>
  401437:	bb 02 00 00 00       	mov    $0x2,%ebx		// i = 2
  40143c:	eb 08                	jmp    401446 <phase_2+0x32>
  40143e:	e8 89 05 00 00       	call   4019cc <explode_bomb>
  401443:	83 c3 01             	add    $0x1,%ebx	//i = i+1=3  i=4 i = 5
  401446:	83 fb 05             	cmp    $0x5,%ebx	if(i!=5)
  401449:	7f 1e                	jg     401469 <phase_2+0x55>	//我们的目标是安全循环出来
  40144b:	48 63 d3             	movslq %ebx,%rdx//rdx = 2 rdx = 3
  40144e:	8d 4b fe             	lea    -0x2(%rbx),%ecx//ecx = 0 ecx = 1 ecx = 2 ecx = 3
  401451:	48 63 c9             	movslq %ecx,%rcx
  401454:	8d 43 ff             	lea    -0x1(%rbx),%eax//eax = 1	eax = 2 eax = 3 ecx = 4
  401457:	48 98                	cltq   
  401459:	8b 44 85 d0          	mov    -0x30(%rbp,%rax,4),%eax//传入第二个参数 传入第三个参数
  40145d:	03 44 8d d0          	add    -0x30(%rbp,%rcx,4),%eax//a2'=a1+a2=1	a3'=a2+a3=1+a3  a4'=a3+a4 a5=a4+a5
  401461:	39 44 95 d0          	cmp    %eax,-0x30(%rbp,%rdx,4)//a3=a2'=1？		a4=a3'=a3+1?  a5 = a4'? a6=a5'=a4'+a5=2(a3+1)+a5?
  401465:	74 dc                	je     401443 <phase_2+0x2f>
  401467:	eb d5                	jmp    40143e <phase_2+0x2a>
  401469:	48 83 c4 28          	add    $0x28,%rsp
  40146d:	5b                   	pop    %rbx
  40146e:	5d                   	pop    %rbp
  40146f:	c3                   	ret

3.3 阶段3的破解与分析

密码如下：3 g 207（答案不唯一)

破解过程：

gdb bomb
b phase_
run sol.txt

首先当然还是先观察phase_3的汇编代码，看是不是调用了有关输入的参数的函数：在sscanf函数调用后检查$eax，因为sscanf在参数匹配成功后会将匹配成功的参数的个数放入eax中返回，所以检查eax是否大于2，即至少应匹配三个参数才能过第一个爆炸点.

确定输入字符串的格式: %d %c %d

推断出$ rbp - 0x4存的是第一参数，并且必须小于7，这里就以3为例

x/x 地址 #查看地址存的数据第一个x代表查看内存内容 第二个x代表以十六进制的形式显示

猜测：判断第三个参数和0xcf也就是207是否相等

猜测rbp-0x9位置存放的是字符,再根据acii码对比可知103--g，第二个是比较ACII码

3.4 阶段4的破解与分析

密码如下：14 7

破解过程：

gdb bomb 
b phase_4
r sol.txt #推荐把前几关的密码写入文件中
ni
layout asm
x/s 地址  #查看字符串形式的输入格式

破解过程相信大家已经轻车熟路了,首先查看输入的形式，输入两个数字，如果输入的数字个数不是2，就会引爆炸弹。

根据寄存器的使用规则,arg1作为函数的第三个输入参数，他的存放地址由寄存器rdx来确定，对于第四个参数他的寄存地址由rcx确定，接下来我们要根据代码确定arg1和arg2的具体数值。

1.测试数据 99 88; 通过测试发现$rbp-0x4储存的是第一参数,下方的test是判断是不是等于0的操作。

2.接着单步运行发现不仅要大于0，而且还不能大于0xe也就是15

3.紧接着，执行了三条赋值语句，可以推测三条mov指令是为fun4准备参数

4.关于fun4如何执行我们之后再看,我们先看fun4执行完之后的代码

根据寄存器的使用规则,函数返回值必须放在rax中,所以返回值必须为7，否则会引爆炸弹。

第二个cmpl函数cmpl -x08(rbp)，用来比较agr2和7的大小，所以可以确定第二个输入参数为7，我们进一步缩小范围，第一个数小于等于14第二个数是7

5.下面我们来分析一下函数fun4的代码:

测试数据

(gdb) i r

在调用函数之前查看寄存器 rax 存放第一个值 rdx =14 rsi = 0 rdi存放函数的第一个参数，如果相等那么mov $0x0,%eax返回值是0不是7，就不符合要求，所以一定是在函数中跳转结束的。

看代码:

00000000004015be <func4>:            （edx=14 ecx =7 esi=0）
  4015be:	55                   	push   %rbp
  4015bf:	48 89 e5             	mov    %rsp,%rbp
  4015c2:	89 d1                	mov    %edx,%ecx    #此时ecx = edx=14
  4015c4:	29 f1                	sub    %esi,%ecx    #ecx = ecx = 14
  4015c6:	89 c8                	mov    %ecx,%eax    #eax = ecx = 14
  4015c8:	c1 e8 1f             	shr    $0x1f,%eax   #逻辑右移eax >> 0x1f(31)逻辑移位 相当于左移一位 此时eax应该是0 因为不能保证精度
  4015cb:	01 c8                	add    %ecx,%eax   #eax = eax+ecx =14
  4015cd:	d1 f8                	sar    %eax	   #移位的位数等于1时,可以省略 	对eax进行算数算数右移一位的操作，可以看成这个数除以2 eax = 7
  4015cf:	01 f0                	add    %esi,%eax   #eax = 0+eax = 7	
  4015d1:	39 f8                	cmp    %edi,%eax   #7和第一个参数对比	
  4015d3:	7f 09                	jg     4015de <func4+0x20>#如果比第二个参数大话,edi[7,14]
  4015d5:	7c 13                	jl     4015ea <func4+0x2c>#如果小的话
  4015d7:	b8 00 00 00 00       	mov    $0x0,%eax
  4015dc:	5d                   	pop    %rbp
  4015dd:	c3                   	ret    
  4015de:	8d 50 ff             	lea    -0x1(%rax),%edx
  4015e1:	e8 d8 ff ff ff       	call   4015be <func4>
  4015e6:	01 c0                	add    %eax,%eax
  4015e8:	eb f2                	jmp    4015dc <func4+0x1e>
  4015ea:	8d 70 01             	lea    0x1(%rax),%esi
  4015ed:	e8 cc ff ff ff       	call   4015be <func4>
  4015f2:	8d 44 00 01          	lea    0x1(%rax,%rax,1),%eax
  4015f6:	eb e4                	jmp    4015dc <func4+0x1e>

第一轮调用：如果是jg eax = 7 ecx = 14 edx = 14 让rax+1

 4015ea:	8d 70 01             	lea    0x1(%rax),%esi
  4015ed:	e8 cc ff ff ff       	call   4015be <func4>

只有函数返回值为1的时候递归才结束，此时返回值一定是eax = 2*0+1 = 1

要想让eax= 7只有调用7次，也就是eax增加七次所以7+7 = 14或者7-7=0；又因为前面的限制条件所以第一个参数不能为0，所以密码只能是14 7；

ecx = edx = 6 eax = edx = 6 eax = 0 eax = 6 eax = 3 eax = 3

3.5 阶段5的破解与分析

密码如下：5 115

破解过程：

老规矩我们先分析一下汇编代码

确定参数地址和输入形式

and一个都是1的数字，没有啥作用，作用主要是生成标志位判断是不是0。指令and $0xf, %eax取得第一个参数的后四位，且要求第一个参数不能是15，edx为计数器，ecx为累加，根据当次循环eax的值去寻址mov 0x403200(,%rax,4),%eax取到数组中的下一个不连续的元素，结束循环的条件是eax取到15时edx计数到15次，第二个参数与ecx相等。查看地址 0x4031e0(,%rax,4)的元素，观察数组有唯一确定的跳转表将这些值累加得115 其实直接最后看看ecx就行

3-12-7-11-4-13-6-9-4-8-0-10-1-2-14-6-15