CSAPP Bomb Lab phase6 解题记录

最新推荐文章于 2024-06-02 16:11:40 发布
最新推荐文章于 2024-06-02 16:11:40 发布
阅读量1.2k 收藏 7
点赞数 2
分类专栏: CSAPP 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41168353/article/details/112747201
版权

最近下班无聊的时候把CSAPP Bomb Lab做完了(Bomb Lab作业地址: http://csapp.cs.cmu.edu/3e/labs.html

写一下最难的phase6的解题记录:

phase_6的反汇编代码如下:

Dump of assembler code for function phase_6:

   0x00000000004010f4 <+0>:	    push   %r14
   0x00000000004010f6 <+2>:	    push   %r13
   0x00000000004010f8 <+4>:	    push   %r12
   0x00000000004010fa <+6>:	    push   %rbp
   0x00000000004010fb <+7>: 	push   %rbx
   0x00000000004010fc <+8>:	    sub    $0x50,%rsp
   0x0000000000401100 <+12>:	mov    %rsp,%r13
   0x0000000000401103 <+15>:	mov    %rsp,%rsi
   0x0000000000401106 <+18>:	callq  0x40145c <read_six_numbers> 
   0x000000000040110b <+23>:	mov    %rsp,%r14
   0x000000000040110e <+26>:	mov    $0x0,%r12d
   0x0000000000401114 <+32>:	mov    %r13,%rbp
   0x0000000000401117 <+35>:	mov    0x0(%r13),%eax
   0x000000000040111b <+39>:	sub    $0x1,%eax
   0x000000000040111e <+42>:	cmp    $0x5,%eax
   0x0000000000401121 <+45>:	jbe    0x401128 <phase_6+52>
   0x0000000000401123 <+47>:	callq  0x40143a <explode_bomb>
   0x0000000000401128 <+52>:	add    $0x1,%r12d
   0x000000000040112c <+56>:	cmp    $0x6,%r12d
   0x0000000000401130 <+60>:	je     0x401153 <phase_6+95>
   0x0000000000401132 <+62>:	mov    %r12d,%ebx
   0x0000000000401135 <+65>:	movslq %ebx,%rax
   0x0000000000401138 <+68>:	mov    (%rsp,%rax,4),%eax
   0x000000000040113b <+71>:	cmp    %eax,0x0(%rbp)
   0x000000000040113e <+74>:	jne    0x401145 <phase_6+81>
   0x0000000000401140 <+76>:	callq  0x40143a <explode_bomb>
   0x0000000000401145 <+81>:	add    $0x1,%ebx
   0x0000000000401148 <+84>:	cmp    $0x5,%ebx
   0x000000000040114b <+87>:	jle    0x401135 <phase_6+65>
   0x000000000040114d <+89>:	add    $0x4,%r13
   0x0000000000401151 <+93>:	jmp    0x401114 <phase_6+32>
   0x0000000000401153 <+95>:	lea    0x18(%rsp),%rsi
   0x0000000000401158 <+100>:	mov    %r14,%rax
   0x000000000040115b <+103>:	mov    $0x7,%ecx
   0x0000000000401160 <+108>:	mov    %ecx,%edx
   0x0000000000401162 <+110>:	sub    (%rax),%edx
   0x0000000000401164 <+112>:	mov    %edx,(%rax)
   0x0000000000401166 <+114>:	add    $0x4,%rax
   0x000000000040116a <+118>:	cmp    %rsi,%rax
   0x000000000040116d <+121>:	jne    0x401160 <phase_6+108>
   0x000000000040116f <+123>:	mov    $0x0,%esi
   0x0000000000401174 <+128>:	jmp    0x401197 <phase_6+163>
   0x0000000000401176 <+130>:	mov    0x8(%rdx),%rdx
   0x000000000040117a <+134>:	add    $0x1,%eax
   0x000000000040117d <+137>:	cmp    %ecx,%eax
   0x000000000040117f <+139>:	jne    0x401176 <phase_6+130>
   0x0000000000401181 <+141>:	jmp    0x401188 <phase_6+148>
   0x0000000000401183 <+143>:	mov    $0x6032d0,%edx
   0x0000000000401188 <+148>:	mov    %rdx,0x20(%rsp,%rsi,2)
   0x000000000040118d <+153>:	add    $0x4,%rsi
   0x0000000000401191 <+157>:	cmp    $0x18,%rsi
   0x0000000000401195 <+161>:	je     0x4011ab <phase_6+183>
   0x0000000000401197 <+163>:	mov    (%rsp,%rsi,1),%ecx
   0x000000000040119a <+166>:	cmp    $0x1,%ecx
   0x000000000040119d <+169>:	jle    0x401183 <phase_6+143>
   0x000000000040119f <+171>:	mov    $0x1,%eax
   0x00000000004011a4 <+176>:	mov    $0x6032d0,%edx
   0x00000000004011a9 <+181>:	jmp    0x401176 <phase_6+130>
   0x00000000004011ab <+183>:	mov    0x20(%rsp),%rbx
   0x00000000004011b0 <+188>:	lea    0x28(%rsp),%rax
   0x00000000004011b5 <+193>:	lea    0x50(%rsp),%rsi
   0x00000000004011ba <+198>:	mov    %rbx,%rcx
   0x00000000004011bd <+201>:	mov    (%rax),%rdx
   0x00000000004011c0 <+204>:	mov    %rdx,0x8(%rcx)
   0x00000000004011c4 <+208>:	add    $0x8,%rax
   0x00000000004011c8 <+212>:	cmp    %rsi,%rax
   0x00000000004011cb <+215>:	je     0x4011d2 <phase_6+222>
   0x00000000004011cd <+217>:	mov    %rdx,%rcx
   0x00000000004011d0 <+220>:	jmp    0x4011bd <phase_6+201>
   0x00000000004011d2 <+222>:	movq   $0x0,0x8(%rdx)
   0x00000000004011da <+230>:	mov    $0x5,%ebp
   0x00000000004011df <+235>:	mov    0x8(%rbx),%rax
   0x00000000004011e3 <+239>:	mov    (%rax),%eax
   0x00000000004011e5 <+241>:	cmp    %eax,(%rbx)
   0x00000000004011e7 <+243>:	jge    0x4011ee <phase_6+250>
   0x00000000004011e9 <+245>:	callq  0x40143a <explode_bomb>
   0x00000000004011ee <+250>:	mov    0x8(%rbx),%rbx
   0x00000000004011f2 <+254>:	sub    $0x1,%ebp
   0x00000000004011f5 <+257>:	jne    0x4011df <phase_6+235>
   0x00000000004011f7 <+259>:	add    $0x50,%rsp
   0x00000000004011fb <+263>:	pop    %rbx
   0x00000000004011fc <+264>:	pop    %rbp
   0x00000000004011fd <+265>:	pop    %r12
   0x00000000004011ff <+267>:	pop    %r13
   0x0000000000401201 <+269>:	pop    %r14
   0x0000000000401203 <+271>:	retq
End of assembler dump.

为了便于分析,大致将上述代码分为了6段:

各段的简要分析结果如下:

第一段:

   第一段代码: 读取6个整数的值, 假设输入的6个整数位 Ai(1<=i<=6)

   0x00000000004010f4 <+0>:	    push   %r14
   0x00000000004010f6 <+2>:	    push   %r13
   0x00000000004010f8 <+4>:	    push   %r12
   0x00000000004010fa <+6>:	    push   %rbp
   0x00000000004010fb <+7>: 	push   %rbx
   0x00000000004010fc <+8>:	    sub    $0x50,%rsp
   0x0000000000401100 <+12>:	mov    %rsp,%r13
   0x0000000000401103 <+15>:	mov    %rsp,%rsi
   0x0000000000401106 <+18>:	callq  0x40145c <read_six_numbers> //读入6个整数
   0x000000000040110b <+23>:	mov    %rsp,%r14
   0x000000000040110e <+26>:	mov    $0x0,%r12d

第一段代码中,read_six_numbers的功能大致如下:

int read_six_numbers(char* str, int* p1, int* p2, int* p3, 
                            int* p4, int* p5, int* p6)
{
    sscanf(str, "%d %d %d %d %d %d", 
                     p1, p2, p3, p4, p5, p6);
}

 

第二段:

第二段代码: 一词判断上面输入的6个整数是否<=6,如果不是,爆炸;
   并且 Ai != Aj (1<=i<=6, i<j<=6),如果不是,爆炸

   0x0000000000401114 <+32>:	mov    %r13,%rbp
   0x0000000000401117 <+35>:	mov    0x0(%r13),%eax
   0x000000000040111b <+39>:	sub    $0x1,%eax
   0x000000000040111e <+42>:	cmp    $0x5,%eax
   0x0000000000401121 <+45>:	jbe    0x401128 <phase_6+52>
   0x0000000000401123 <+47>:	callq  0x40143a <explode_bomb>
   0x0000000000401128 <+52>:	add    $0x1,%r12d
   0x000000000040112c <+56>:	cmp    $0x6,%r12d
   0x0000000000401130 <+60>:	je     0x401153 <phase_6+95>
   0x0000000000401132 <+62>:	mov    %r12d,%ebx
   0x0000000000401135 <+65>:	movslq %ebx,%rax
   0x0000000000401138 <+68>:	mov    (%rsp,%rax,4),%eax
   0x000000000040113b <+71>:	cmp    %eax,0x0(%rbp)
   0x000000000040113e <+74>:	jne    0x401145 <phase_6+81>
   0x0000000000401140 <+76>:	callq  0x40143a <explode_bomb>
   0x0000000000401145 <+81>:	add    $0x1,%ebx
   0x0000000000401148 <+84>:	cmp    $0x5,%ebx
   0x000000000040114b <+87>:	jle    0x401135 <phase_6+65>
   0x000000000040114d <+89>:	add    $0x4,%r13
   0x0000000000401151 <+93>:	jmp    0x401114 <phase_6+32>

 

第三段:

第三段代码:Ai = 7 - Ai (1 <= i <= 6)
   0x0000000000401153 <+95>:	lea    0x18(%rsp),%rsi
   0x0000000000401158 <+100>:	mov    %r14,%rax
   0x000000000040115b <+103>:	mov    $0x7,%ecx
   0x0000000000401160 <+108>:	mov    %ecx,%edx
   0x0000000000401162 <+110>:	sub    (%rax),%edx
   0x0000000000401164 <+112>:	mov    %edx,(%rax)
   0x0000000000401166 <+114>:	add    $0x4,%rax
   0x000000000040116a <+118>:	cmp    %rsi,%rax
   0x000000000040116d <+121>:	jne    0x401160 <phase_6+108>

第四段:

第四段代码:假设从 rsp+0x20 开始处的内存地址存放的6个元素(每个元素占8个字节)为 bi(1<=i<=6)
   则有:
   for(int i=1; i<=6; i++)
   {
      if(ai <= 1)
      {
          bi = 0x6032d0;
      }
      else
      {
          int j = 1;
          bi = 0x6032d0;
          while(j != ai)
          {
             bi = *(bi + 0x8);
             ++j;
          }
      }
   }

   0x000000000040116f <+123>:	mov    $0x0,%esi
   0x0000000000401174 <+128>:	jmp    0x401197 <phase_6+163>
   0x0000000000401176 <+130>:	mov    0x8(%rdx),%rdx
   0x000000000040117a <+134>:	add    $0x1,%eax
   0x000000000040117d <+137>:	cmp    %ecx,%eax
   0x000000000040117f <+139>:	jne    0x401176 <phase_6+130>
   0x0000000000401181 <+141>:	jmp    0x401188 <phase_6+148>
   0x0000000000401183 <+143>:	mov    $0x6032d0,%edx
   0x0000000000401188 <+148>:	mov    %rdx,0x20(%rsp,%rsi,2)
   0x000000000040118d <+153>:	add    $0x4,%rsi
   0x0000000000401191 <+157>:	cmp    $0x18,%rsi
   0x0000000000401195 <+161>:	je     0x4011ab <phase_6+183>
   0x0000000000401197 <+163>:	mov    (%rsp,%rsi,1),%ecx
   0x000000000040119a <+166>:	cmp    $0x1,%ecx
   0x000000000040119d <+169>:	jle    0x401183 <phase_6+143>
   0x000000000040119f <+171>:	mov    $0x1,%eax
   0x00000000004011a4 <+176>:	mov    $0x6032d0,%edx
   0x00000000004011a9 <+181>:	jmp    0x401176 <phase_6+130>

 

第五段:

第五段代码: 功能
   x = b1;

   for(int i=1; i<=5; i++)
   {
       *(bi + 0x8) = b(i+1);
   }

   0x00000000004011ab <+183>:	mov    0x20(%rsp),%rbx
   0x00000000004011b0 <+188>:	lea    0x28(%rsp),%rax
   0x00000000004011b5 <+193>:	lea    0x50(%rsp),%rsi
   0x00000000004011ba <+198>:	mov    %rbx,%rcx
   0x00000000004011bd <+201>:	mov    (%rax),%rdx
   0x00000000004011c0 <+204>:	mov    %rdx,0x8(%rcx)
   0x00000000004011c4 <+208>:	add    $0x8,%rax
   0x00000000004011c8 <+212>:	cmp    %rsi,%rax
   0x00000000004011cb <+215>:	je     0x4011d2 <phase_6+222>
   0x00000000004011cd <+217>:	mov    %rdx,%rcx
   0x00000000004011d0 <+220>:	jmp    0x4011bd <phase_6+201>

详细分析下第4,5段代码:

在第四段汇编代码中,可以理解为获取一个链表中各节点的首地址;

每个节点是一个结构体,如下

//由于系统是64位,故指针变量占8Byte
//字节对齐之后,结构体实际占16Byte
struct LISTNODE
{
   int nValue;
   LISTNODE* pNext;
}

第4和第5段转成C代码功能大致如下:

LISTNODE* arrAddress[6];

for(int i=0; i<6; i++)
{
   if(i == 0)
   {
     arrAddress[i] = (LISTNODE*)0x6032d0;
   }
   else
   {
     arrAddress[i] = (arrAddress[i-1])->pNext;
   }
}

//第4步后所得arrAddress就相当于b

 

第六段:

第6段代码:

   下面的x是第5步中的x
   大致功能伪代码如下:
   for(int i=1; i<=5; i++)
   {
      if(*(int*)x >= *( (int*)(x+0x8) ) )
      {
         x = *(x + 0x8);
         continue;
      }
      else
      {
         Boom!!!
      }
   }

   结束了!!!!!

   0x00000000004011d2 <+222>:	movq   $0x0,0x8(%rdx)
   0x00000000004011da <+230>:	mov    $0x5,%ebp
   0x00000000004011df <+235>:	mov    0x8(%rbx),%rax
   0x00000000004011e3 <+239>:	mov    (%rax),%eax
   0x00000000004011e5 <+241>:	cmp    %eax,(%rbx)
   0x00000000004011e7 <+243>:	jge    0x4011ee <phase_6+250>
   0x00000000004011e9 <+245>:	callq  0x40143a <explode_bomb>
   0x00000000004011ee <+250>:	mov    0x8(%rbx),%rbx
   0x00000000004011f2 <+254>:	sub    $0x1,%ebp
   0x00000000004011f5 <+257>:	jne    0x4011df <phase_6+235>
   0x00000000004011f7 <+259>:	add    $0x50,%rsp
   0x00000000004011fb <+263>:	pop    %rbx
   0x00000000004011fc <+264>:	pop    %rbp
   0x00000000004011fd <+265>:	pop    %r12
   0x00000000004011ff <+267>:	pop    %r13
   0x0000000000401201 <+269>:	pop    %r14
   0x0000000000401203 <+271>:	retq
End of assembler dump.

第六段代码相当于从第一个节点开始依次比较相邻节点中nValue的值,前一个节点中的nValue必须大于或等于后一个节点中nValue的值,如果不是则直接爆炸。

大致伪代码如下:

LISTNODE* arrAddress[6]; //arrAddress为第5中所得arrAddress

for(int i=0; i<5; i++)
{
   if(arrAddress[i]->nValue >= arrAddress[i+1]->nValue)
   {
      continue;
   }
   else
   {
     Boom!!!
   }
}

其中,链表中各节点中nValue的值如下图

从大到小排列依次是 3, 4, 5, 6, 1, 2,倒过来(7 - x)就是4, 3, 2, 1, 6, 5

 

所以,最后得出输入的6个整数是:4, 3, 2, 1, 6, 5

 

docker_007
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CSAPP炸弹实验bomblab
Broken__Ice的博客
12-13 3534
bomblab是计组里面我做的最认真的一个实验了 折腾汇编两三个小时最后过关的感觉很有成就感! 这边给上我做的时候的一些过程,可以给大家参考 main函数分析 首先是找到main函数,发现它调用了从phase_1到phase_6这六个函数。这应该就是每一关需要看懂的函数了。 第一关: 入门 找到phase_1,代码如下: 当eax的值等于0时,就会调用炸弹爆炸的explode_bomb函数 于是可见上一步函数strings_not_equal返回后的eax必须要为1,结合函数可以推断出是需要"str.
CSAPP Lab2 实验记录 ---- Bomb Lab(Phase 1 - Phase 6详细解答 + Secret Phase彩蛋解析)
热门推荐
Love 6's Private Blog
02-13 2万+
前引 今天是除夕 然后平时摸着摸着鱼 把CSAPP前三章看完了(浮点那里跳着看完的) 因为学习第三章之前学过大部分王爽的汇编语言(就是因为要学CSAPP才学的汇编)然后看第三章相对第一遍初略看的时候 简直不要太舒服 就至少能看懂 能做大部分CSAPP例题了 刚开始没学汇编的时候 里面是啥我都不知道 也就导致我第一次看第三章的时候 懵懵懂懂 不知所以 也就啥都没学进去 ~聊点其他的题外话吧 反正寒假说学的有多认真 倒也不一定 感觉还是边耍边学的吧 Leetcode今天也还没有刷题 晚上也要玩游戏 打ow
《计算机系统》csapp项目作业 lab6
最新发布
qq_74924951的博客
06-02 1283
本实验是校内自己布置的,网上我看貌似没有很好的题解(可以这么说吧),于是我自己写了一篇供大家参考。
深入理解操作系统实验——bomb lab(phase_6)
君陌的博客
11-24 2340
6、对phase_6破解 得到phase_6的汇编代码,进行破解 push %esi push %ebx sub $0x44,%esp lea 0x10(%esp),%eax mov %eax,0x4(%esp) mov 0x50(%esp),%eax mov %eax,(%esp) call 80492ab <read_six_numbers&gt...
【CSAPP】探究BombLab奥秘:Phase_6的解密与实战
朝花夕拾
12-29 9154
这篇博文深度挖掘了CSAPP(Computer Systems: A Programmer's Perspective)课程中的BombLab实验,特别关注了其中的Phase_6,揭示了解密与实战的关键技巧。通过对该实验的深入分析,读者将了解到底层系统编程、逆向工程和程序攻击等计算机系统关键概念的精髓。文章详细解读了Phase_6的奥秘,为读者提供了一次深入学习计算机科学的机会,同时探讨了在解决实际问题中的应用。
笔记bomblab phase_4 && phase_5 && phase_6
Greatljc的博客
09-08 2088
phase_4 先读入两个int类型的数。读入的第一个数的地址在%rsp + 8的位置。然后调用函数 在地址0x400fe2时,通过前面0x400fce-0x400fdf可以计算出%ecx此时的值是0x7。往下看,假设执行了0x400fe4指令,就跳到了0x400ff2指令,然后%ecx和%edi再比较。第一次是jle(小于或等于),第二次是jge(大于或等于)。要想都满足条件,那就只能是0x...
csapp bomb lab
03-20
csapp bomb lab csapp bomb lab csapp bomb lab csapp bomb lab csapp bomb lab
CSAPP bomblab
05-09
CSAPP Bomblab 知识点总结 CSAPP Bomblab 是 CMU 的 CSAPP 课程实验 Lab 系列的一部分,旨在帮助学生理解汇编语言,学会使用 gdb 调试。通过反汇编和逆向工程,学生需要确定六个不同的字符串,从而解除炸弹。 一、...
CSAPP BombLab实验解决源码(亲测有效!!!)
11-15
通过CSAPP的bomblab实验,我深刻认识到了计算机系统的安全问题、解决问题的能力以及汇编语言的重要性。在实验过程中需要分析程序的汇编代码,了解程序的运行原理和逻辑,并找到程序中的安全漏洞和陷阱。在这个过程中...
bomblab实验:bomblab csapp cmu 所有文件
05-26
在计算机科学的学习过程中,"bomblab"是一项经典的实验,通常出现在CMU(卡内基梅隆大学)的CSAPP(System Programming and Operating Systems)课程中。这个实验旨在让学生深入理解计算机底层原理,特别是涉及到...
CSAPP bomb lab内容加解答
04-22
著名的bomb lab, CSAPP(深入理解计算机系统)一书中9个lab之一, 卡耐基 梅隆大学 Introduction to Computer 课程实验之一, 这里面包含实验内容及我的解答过程, 二进制文件bomb在我的64位Ubuntu下面运行正常, 无需在...
CSAPP实验bomb炸弹破解
07-11
CSAPP实验bomb拆炸弹实验,这个实验总体蛮有趣的。里面有详细的代码、破解过程和报告。
CSAPP Lab2 bomblab二进制炸弹
10-22
CSAPP Lab2 bomblab二进制炸弹 拆炸弹实验源代码 深入理解计算机系统课程实验二资料。程序设计与计算机系统课程。
csapp bomb lab实验报告(附bomb文件)
07-02
深入理解计算机系统配套的课后Lab,可能跟原版的不一样。但是实验报告里有自己解题的一些思路
bomb lab writeup
10-26
bomblab writeup
CSAPP bomblab实验报告
04-29
二进制炸弹实验的实验报告,自己写的,包括关键的phase代码和相应函数代码。
bomb实验phase_6
肖恩123的博客
01-22 710
一、总体分析 首先看phase_6所有汇编代码的内容。 0x00000000004010f4 <+0>: push %r14 0x00000000004010f6 <+2>: push %r13 0x00000000004010f8 <+4>: push %r12 0x00000000004010fa <+6>: push %rbp 0x00000000004010fb <+7
深入理解计算机系统-bomblab详解
独小雪的博客
08-14 1万+
目录Phase 1Phase 2Phase 3Phase 4Phase 5Phase 6Secret Phase几条野路子 下载实验用的文件们戳这里 bomblab的背景很有趣。Dr. Evil(evil得可爱死了!!!)把“二进制炸弹”装在了教室的机子里。想要拆掉炸弹,你必须反编译“炸弹”,通过其中的汇编指令推测出可以拆掉炸弹的phrase。 好啦,我们看一看下载的文件夹里都有什么。bomb就是要我们去拆的“炸弹”;bomb.c是炸弹的源代码,但是最为关键的部分被删掉了,只保留了骨架。gdbnotes-x
CSAPP 3e: Bomb lab (phase_6)
weixin_33908217的博客
09-18 575
  这一关很复杂,需要非常耐心。如果感觉容易在循环中绕晕,可以参考一下我最后附上的画图分析法2333,小把戏,不过挺有用的。   先看函数phase_6: 00000000004010f4 <phase_6>: 4010f4: 41 56 push %r14 4010f6: 41 55 ...
CSAPP的bomb lab
04-19
CSAPP的bomb lab是CMU(卡内基梅隆大学)计算机系统导论课程(Computer Systems: A Programmer's Perspective)中的一个实验项目。该实验旨在帮助学生理解计算机系统的底层原理和安全性。 在bomb lab中,学生需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值