bomb_lab phase5最详细解析!

已于 2023-10-29 15:11:00 修改
阅读量251 收藏
点赞数
文章标签: linux c语言 汇编
于 2023-10-29 01:08:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vvtryi/article/details/134098770
版权

bomb_lab phase5最详细解析!

1.先对反汇编代码进行初步美化

phase5:  
  401062:	53                   	push   %rbx
  401063:	48 83 ec 20          	sub    $0x20,%rsp
  401067:	48 89 fb             	mov    %rdi,%rbx
  40106a:	64 48 8b 04 25 28 00 	mov    %fs:0x28,%rax
  401071:	00 00 
  401073:	48 89 44 24 18       	mov    %rax,0x18(%rsp)
  401078:	31 c0                	xor    %eax,%eax
  40107a:	e8 9c 02 00 00       	callq  40131b <string_length>
  40107f:	83 f8 06             	cmp    $0x6,%eax              //检测读入长度是否为6
  401082:	74 4e                	je     4010d2 <phase_5+0x70>
  401084:	e8 b1 03 00 00       	callq  40143a <explode_bomb>
  401089:	eb 47                	jmp    4010d2 <phase_5+0x70>
  //eax = 6char
  
real start:
  40108b:	0f b6 0c 03          	movzbl (%rbx,%rax,1),%ecx
  40108f:	88 0c 24             	mov    %cl,(%rsp)
  401092:	48 8b 14 24          	mov    (%rsp),%rdx
  401096:	83 e2 0f             	and    $0xf,%edx
  401099:	0f b6 92 b0 24 40 00 	movzbl 0x4024b0(%rdx),%edx    // maduiersnfotvby
  4010a0:	88 54 04 10          	mov    %dl,0x10(%rsp,%rax,1)
  4010b3:	be 5e 24 40 00       	mov    $0x40245e,%esi //flyers
  4010b8:	48 8d 7c 24 10       	lea    0x10(%rsp),%rdi
  4010bd:	e8 76 02 00 00       	callq  401338 <strings_not_equal>
  4010c2:	85 c0                	test   %eax,%eax
  4010c4:	74 13                	je     4010d9 <phase_5+0x77>  //work out
  4010c6:	e8 6f 03 00 00       	callq  40143a <explode_bomb>
  4010cb:	0f 1f 44 00 00       	nopl   0x0(%rax,%rax,1)
  4010d0:	eb 07                	jmp    4010d9 <phase_5+0x77>


end:
  4010d2:	b8 00 00 00 00       	mov    $0x0,%eax
  int eax = 0;
  4010d7:	eb b2                	jmp    40108b <phase_5+0x29>
  4010d9:	48 8b 44 24 18       	mov    0x18(%rsp),%rax
  4010de:	64 48 33 04 25 28 00 	xor    %fs:0x28,%rax
  4010e5:	00 00 
  4010e7:	74 05                	je     4010ee <phase_5+0x8c>
  4010e9:	e8 42 fa ff ff       	callq  400b30 <__stack_chk_fail@plt> // in case overflow
  
real_end:
  4010ee:	48 83 c4 20          	add    $0x20,%rsp
  4010f2:	5b                   	pop    %rbx
  4010f3:	c3                   	retq

2.不难看出,真正需要我们解密的部分在realstart部分,realstart前面是检测读入字符串长度是否等于六

接下来我们看realstart 可以分为两部分 第一部分处理字符串 第二部分检查所得是否于0x40245e

real start:

part1:
  40108b:	0f b6 0c 03          	movzbl (%rbx,%rax,1),%ecx
  40108f:	88 0c 24             	mov    %cl,(%rsp)
  401092:	48 8b 14 24          	mov    (%rsp),%rdx
  401096:	83 e2 0f             	and    $0xf,%edx
  401099:	0f b6 92 b0 24 40 00 	movzbl 0x4024b0(%rdx),%edx    // maduiersnfotvby
  4010a0:	88 54 04 10          	mov    %dl,0x10(%rsp,%rax,1)

part2:
  4010b3:	be 5e 24 40 00       	mov    $0x40245e,%esi //flyers
  4010b8:	48 8d 7c 24 10       	lea    0x10(%rsp),%rdi
  4010bd:	e8 76 02 00 00       	callq  401338 <strings_not_equal>
  4010c2:	85 c0                	test   %eax,%eax
  4010c4:	74 13                	je     4010d9 <phase_5+0x77>  //work out
  4010c6:	e8 6f 03 00 00       	callq  40143a <explode_bomb>
  4010cb:	0f 1f 44 00 00       	nopl   0x0(%rax,%rax,1)
  4010d0:	eb 07                	jmp    4010d9 <phase_5+0x77>

3.gdb bomb

x/s 0x40245e得到flyers

也就是part2可以等价于

if(0x10(%rsp!)=="flyers")
    work_out();
else
 	explore_bomb();

4.接下来我们专心part1,这部分最难理解的是movzbl 和 %cl,我们稍后讲解

  40108b:	0f b6 0c 03          	movzbl (%rbx,%rax,1),%ecx
  40108f:	88 0c 24             	mov    %cl,(%rsp)
  401092:	48 8b 14 24          	mov    (%rsp),%rdx
  401096:	83 e2 0f             	and    $0xf,%edx
  401099:	0f b6 92 b0 24 40 00 	movzbl 0x4024b0(%rdx),%edx    // maduiersnfotvby
  4010a0:	88 54 04 10          	mov    %dl,0x10(%rsp,%rax,1)
  4010a4:	48 83 c0 01          	add    $0x1,%rax
  4010a8:	48 83 f8 06          	cmp    $0x6,%rax
  4010ac:	75 dd                	jne    40108b <phase_5+0x29>

5.从最后的add $0x1,%rax 以及 cmp $0x6,%rax能看出每次%rax加1到6退出,这恰好等于我们的字符

推测出这是一个for循环用来遍历每个字符

所以写成c-like风格代码为

for(int rax=1;rax<=6;rax++)
{
	  movzbl (%rbx,%rax,1),%ecx
      mov    %cl,(%rsp)
  	  mov    (%rsp),%rdx
 	  and    $0xf,%edx
 	  movzbl 0x4024b0(%rdx),%edx    // maduiersnfotvby
  	  mov    %dl,0x10(%rsp,%rax,1)
}

6.这里movzbl相当于用了强制类型转换 因为char是4位字节的,int是8位字节的 用mov后要给前面补零

movzb1(%rbx,%rax,1),%ecx = (int)mov(%rbx,%rax,1),%ecx

等价于 ecx = rbx + rax*1

等价于ecx = rbx[rax]

继续美化代码

for(int rax=1;rax<=6;rax++)
{
      ecx = rbx[rax];
      rsp = cl
      rdx = rsp
      edx &= 0xf
      edx = 0x4024b0[rdx]
      0x10rsp[rax] = dl
}

其中

rbx = ïnput
0x4024b0 = “maduiersnfotvby”;

%cl: %cl is an 8-bit register and is part of %rcx (the low 8 bits of %rcx)

也就是说cl 和 ecx 是一个东西再加上后面 dl 和 edx 是一个东西 是强制类型转换中的中间产物

7.合并ecx和cl

for(int rax=1;rax<=6;rax++)
{
      rdx = (int)rbx[rax];
      edx &= 0xf
      edx = 0x4024b0[rdx]
      0x10rsp[rax] = edx
}

最后得到

 char *s = "maduiersnfotvby";
for(int i = 1;i<=6;i++)
{
	  char a = input[i];
	  a &= 0xf;
	  edx = s[a];
	  ans[i] = edx;
}
if(ans == "flyers")
    return;

8.对应字符查询

也就是说每个字符通过ascii经过强制类型转换后再取最低四位在"maduiersnfotvby"对应的位置就是字母

目的flyers
在s位置(16进制)9fe567
对应字母(多个)ionefg
#include<stdio.h>

int main()
{
	for(int i=97;i<=122;i++)
	{
		char a = (char)i;
		printf("%c = %x\n" , a, (i&0xf));
	}
	return 0;
}
//查看每个字母对应在s位置

a = 1
b = 2
c = 3
d = 4
e = 5
f = 6
g = 7
h = 8
i = 9
j = a
k = b
l = c
m = d
n = e
o = f
p = 0
q = 1
r = 2
s = 3
t = 4
u = 5
v = 6
w = 7
x = 8
y = 9
z = a

phase5破解成功!

Buttonwood_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[精品]CSAPP Bomb Lab 解题报告(五)
业精于勤,荒于嬉
11-12 327
接上篇[精品]CSAPP Bomb Lab 解题报告(四) gdb常用指令 设置Intel代码格式:set disassembly-flavor intel 查看反汇编代码:disas phase_1 查看字符串:(gdb) x/s 0x402800 0x402800: "Gunston" 5. Phase 5: pointers 5.1 本关密码 9ON567(不唯一) 5.2 解题过程 %rdi = input 5.2.1 观察函数 phase_5 在 bomb.asm 中找到函数 phase_5
二进制炸弹bomblab-第五关解析
最新发布
M34_625的博客
08-30 433
二进制炸弹bomblab-第五关解析,本文并非速通指南,偏向于如何一步步思考与解题,也许会分析得有些拖沓。且本文为系列文章,一篇只分析一关的破解思路,前文提到的知识点后面不会赘述,分析过的类似的汇编代码段也不会再分析,除非是没见过的结构,所以越往后分析得越少。
深入理解操作系统实验——bomb lab(phase_5)
君陌的博客
11-24 2889
5、对phase_5破解 得到phase_5的汇编代码,进行破解 push %ebx sub $0x18,%esp mov 0x20(%esp),%ebx mov %ebx,(%esp) call 804904b <string_length> cmp $0x6,%eax je 8048e07 <phase_5+0x1a> call ...
csapp bomb lab phase_5
qq_36672987的博客
09-13 2376
CSAPP phase 这个阶段很有意思,考察了两个知识点,一方面是数组在内存中的存储,另一方面,其采用了一个简单加密算法,对字符数组进行了加密,也就意味着需要破解密钥才能打开这关。作者花了不少时间解决这关,成就感当然也很大啦~ 另外,作者想用英语写文章,提高自己的英语表达能力,可能有的地方并不流畅,还请原谅~ At the begining,I didn't find the point ...
系统级编程 Lab6-BInary Bomb.zip_Binary Bomb_lab06_系统级编程
09-20
通过使用IDA pro7 来解决系统级编程实验 BInary Bomb
prj_mine_sweeping_scanner_bomb_Mine!_
10-02
简单的C语言扫雷程序,在Linux平台测试OK
lab2_Bomb-Lab-Defusing-a-binary-bomb.zip_bomb lab2_bomb汇编_lab2 b
09-20
其中的"Bomb Lab"是其最富盛名的实践环节之一,旨在提升学生对底层计算机原理和汇编语言的理解。Lab2_Bomb-Lab-Defusing-a-binary-bomb.zip 包含的就是这个实验的第二部分,涉及到了对二进制炸弹(binary bomb)的...
bomb_lab_scu.rar
08-03
CSAPP lab binary bomb 二进制炸弹
qq_lab2_bomb
05-02
csapp lab2 bomb拆炸弹实验用的炸弹源文件。
UVM:5.1.3 phase 的执行顺序
06-16 3163
1.UVM 在build_phase 里做实例化工作,假如在其他phase 实例化一个uvm_component,那么系统会报错。 2.uvm_object 可以在任何phase 实例化。 3..除了build_phase 外,所有function phase都是从叶到根执行。 4.对于兄弟关系的component,如driver 与monitor。同一phase 的执行顺序是字典序,即ne
BOMBLAB
Bubu的博客
08-28 1217
CSAPP中实验:BOMBLAB
【CSAPP】Bomblab 详解
Schriefer的博客
03-18 4791
CSAPP bomblab 保姆级详解
CSAPP LAB————二进制炸弹(bomblab
热门推荐
The_V_的博客
07-11 2万+
LAB3 预先准备 首先查看整个bomb.c的代码,发现整个炸弹组是由6个小炸弹(函数)组成的。整个main函数比较简单,函数间变量几乎没有影响。因此,只需要依次解除6个小炸弹即可。 所以,接下来便开始依次调试各函数。 调试函数1: 汇编源码与说明: Dump of assembler code for functionphase_1: 0x08048f61 : pus
CSAPP3e - x86-64 assembly code analysis - Bomb Lab: phase 5
Jason ZHANG的博客
06-06 2277
首先来看phase_5做了什么: 0000000000401062 : 401062: 53 push %rbx 401063: 48 83 ec 20 sub $0x20,%rsp 401067: 48 89 fb mov %rdi,%rbx
BombLab Phase-3 & Phase-4 &Phase-5
启示录
10-25 5231
导航   BombLab Phase-1 &amp; Phase-2 BombLab phase-6 &amp; secret_phase Phase_3 关于风格改变:因为一段段分析代码可以逻辑清晰有序一点,那么就摒弃了以前先上汇编代码再画栈帧图的方式,我们直接给出函数调用的所有栈帧,这样读者有个大概印象后再看后面的汇编代码会逻辑清晰一点。 Phase_3栈帧图   S...
计算机系统原理实验之BombLab二进制炸弹5、6关
m0_37157965的博客
05-23 7493
实验目的:通过二进制炸弹实验,熟悉汇编语言,反汇编工具objdump以及gdb调试工具。实验内容:1、炸弹实验第5关。2、炸弹实验第6关。实验过程:第五关:1、根据前几关的经验,进入bomb文件的gdb调试命令下,直接查看第五关的汇编代码。 2、直接回车可以显示余下的phase_5函数的代码,浏览完一遍phase_5函数的汇编代码后,并不能直接发现此代码的精髓所在,因此,我开始逐条分析phase_...
深入理解计算机系统(CSAPP)课程实验bomb程序炸弹实验日志(phase_5)
Void9711的博客
04-09 4770
本文接 深入理解计算机系统(CSAPP)课程实验bomb程序炸弹实验日志(phase_4)写,已经坚持写了四个部分,最近把第五关破解了,发现这次的关卡是和数组相关的,接下来简单讲讲破解的过程。
笔记bomblab phase_4 && phase_5 && phase_6
Greatljc的博客
09-08 2105
phase_4 先读入两个int类型的数。读入的第一个数的地址在%rsp + 8的位置。然后调用函数 在地址0x400fe2时,通过前面0x400fce-0x400fdf可以计算出%ecx此时的值是0x7。往下看,假设执行了0x400fe4指令,就跳到了0x400ff2指令,然后%ecx和%edi再比较。第一次是jle(小于或等于),第二次是jge(大于或等于)。要想都满足条件,那就只能是0x...
__int64 __fastcall phase_2(__int64 a1) { int *v1; // rbx@4 int v3; // [sp+0h] [bp-38h]@1 int v4; // [sp+4h] [bp-34h]@2 __int64 v5; // [sp+10h] [bp-28h]@5 __int64 v6; // [sp+18h] [bp-20h]@1 v6 = *MK_FP(__FS__, 40LL); read_six_numbers(a1, &v3); if ( v3 || v4 != 1 ) explode_bomb(); v1 = &v3; do { if ( v1[2] != *v1 + v1[1] ) explode_bomb(); ++v1; } while ( (__int64 *)v1 != &v5 ); return *MK_FP(__FS__, 40LL) ^ v6; }
06-08
这段代码是一个炸弹解除的代码,需要输入6个数字作为密码。具体来说,代码首先读入6个数字,然后判断第一个数字是否为0,第二个数字是否为1,如果不是则引爆炸弹。接着,代码通过循环检查后面四个数字是否满足特定的条件,如果不满足则引爆炸弹。最后,代码返回一个计算结果,用于验证是否成功解除炸弹。具体的密码需要查看代码的其他部分来确定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值