逆向工程【二进制炸弹】

原创 于 2019-10-20 20:11:51 发布 · 774 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

二进制炸弹任务描述

"二进制炸弹包含若干个阶段,每个阶段需要输入特定的字符串,所有输入正确则炸弹被排除,否则….."

拆弹的任务也就是找出这些字符串将字符串记录到solution.txt文件中,用换行区别不同阶段的字符串,

Linux环境下可按下列方式验证拆弹结果:

主要方法

objdump反汇编与gdb调试。 

分析流程

已知数据有编译好的二进制可执行文件bomb,也就是反汇编目标文件,以及bomb.c文件,用于辅助理解代码。

查看bomb.c可知程序利用phase_*函数(*为1~6) 检查输入字符串是否合法,不合法就引爆炸弹。

bomb.c没有给出phase的源码,我们实际的任务就是逆向出每个phase的检查规则,构造出合法字符串。

首先使用www.wityx.com反汇编得到bomb的汇编文件,

以下将逐个分析phase1-phase6。

phase1【字符串对比】

 <phase_1>汇编段前三行申请了8字节栈空间,

movl指令在高4字节存入了0x80499a8处的一份数据,随后的两条mov指令将我们提供的phase1的参数存入了栈的低4字节,

紧跟着一条call指令,跳转到<strings_not_equal>处,显然是在进行字符串对比,

通过分析我们可以得到,phase_1实际上是将输入参数与0x80499a8处存储的数据做对比,

在汇编文件中,数据段的内容并没有包含,所以我们需要通过gdb断点输出该处的存储数据,

断点处输出可以得到0x80499a8处的数据,即phase_1的字符串答案I turned the moon into something I like to call a Death Star.

phase2【循环数字】

从8048bbe行可以看出,phase_2的执行与读取6个数字有关,那么输入也应该是6个数字。

从8048bc3、8048bf0、8048bf3行可以得到phase_2的执行,进行了3次循环,也就是6个输入数字进行了3次对比。

最低0.47元/天 解锁文章
博客
如何在Java应用中实现无状态服务:从设计模式到实践
10-05 1832
在实际应用中,通过将状态信息存储在外部系统中,可以进一步增强服务的可维护性和扩展性。无状态服务(Stateless Service)指的是服务在处理每一个请求时都不依赖于之前的请求状态。每个请求都是独立的,服务不需要保存用户的上下文或状态。将状态信息存储在外部系统中(如数据库、缓存等),服务本身只负责处理请求,而不直接管理状态。在实践中,实现无状态服务时,关键是将所有请求数据传递到服务中,并确保服务不保存任何会话状态。在无状态服务中,可以使用装饰器模式来增强服务的功能,例如添加日志记录或权限检查。
博客
Java中的请求去重与防重放:实现幂等接口的技术要点
10-05 895
确保接口的幂等性不仅能够提高系统的稳定性,还能防止因网络问题或用户误操作导致的重复请求。本文将深入探讨如何在Java中实现请求去重与防重放机制,确保接口的幂等性。系统接收到请求时,将请求标识存入缓存或数据库中,后续相同的请求就会被识别为重复请求。通过以上步骤,我们在Java后端实现了请求去重与防重放机制,确保接口的幂等性。通过合理设计请求去重与防重放机制,您将大大提升系统的稳定性和安全性,确保用户体验的流畅。在这个增强的接口中,我们同时调用了请求去重和防重放的服务,确保接口的幂等性。参数识别请求,并通过。
博客
Java中的安全编码指南:如何避免常见的安全漏洞
10-04 722
尤其是对于Java开发者来说,了解并避免常见的安全漏洞是确保应用程序安全的基础。在Java开发中,避免常见的安全漏洞是保障应用程序安全的核心。通过使用预编译的SQL语句、防止XSS攻击、实施CSRF防护、管理会话安全以及处理密码安全,我们可以显著提高应用程序的安全性。为了防止SQL注入,使用预编译的SQL语句是最有效的措施。在实际应用中,生成CSRF令牌并将其嵌入到表单中,然后在服务器端验证该令牌,能有效防止CSRF攻击。使用随机生成的会话ID,并在用户登录后更换会话ID以防止会话固定攻击。
博客
Java后端中的API设计模式:从Facade到Adapter的使用案例
10-04 539
这时,可以使用Facade模式来提供一个统一的支付接口和物流接口,同时使用Adapter模式来适配不同支付网关和物流服务的接口。今天,我们将重点探讨两种常用的设计模式——Facade模式和Adapter模式,并通过具体的Java代码示例来说明它们的使用场景和优势。Adapter模式用于将一个类的接口转换成客户端期望的接口,从而使得原本接口不兼容的类能够一起工作。Facade模式旨在为一组复杂的子系统接口提供一个统一的高层接口,从而使子系统更易于使用。类提供了一个统一的接口来处理不同的支付网关和物流服务。
博客
Java中的对象图转移:如何高效处理多层次对象之间的映射
10-03 928
在Java开发中,对象图转移是一个常见的需求,尤其是在多层次对象映射的场景下。无论是数据传输、对象转换还是映射,如何高效地处理这些对象之间的关系是至关重要的。本文将深入探讨如何在Java中高效地处理多层次对象之间的映射,重点介绍常用的技术和工具。它能够生成高效的映射代码,支持复杂的映射规则和自定义转换逻辑。对象图转移指的是将一个对象的属性映射到另一个对象,特别是在涉及到多层次或复杂结构的对象时。ModelMapper是一个强大的对象映射库,可以自动映射复杂的对象图。在你的业务逻辑中,你可以通过。
博客
Java后端中的链路追踪:使用OpenTelemetry实现全链路监控
10-03 1536
在现代的微服务架构中,链路追踪是监控和优化系统性能的关键技术。通过链路追踪,我们可以跟踪请求在系统中的流转,识别性能瓶颈,定位问题根源。本文将介绍如何在Java后端应用中使用OpenTelemetry实现全链路监控,包括具体的实现步骤和代码示例。通过集成OpenTelemetry,您可以实现全面的链路追踪,帮助您识别瓶颈和潜在问题,从而提升系统的可靠性和用户体验。OpenTelemetry是一个开源项目,旨在提供统一的工具集来收集、处理和导出应用程序的遥测数据,包括跟踪、度量和日志。
博客
Java中的动态配置更新:从配置中心到应用热加载的实现
10-02 798
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!通过实现配置中心与应用热加载,我们能够在不重启应用的情况下,快速更新配置。通过配置中心与应用热加载,Java后端能够实现动态配置更新,大幅提升系统的灵活性与可维护性。例如,您可以在配置文件中定义不同环境的配置,并通过Spring Profiles来激活相应的配置。为实现动态配置更新,您需要在客户端应用中启用Spring Cloud的刷新功能。通过这种方式,您可以在不同环境中使用不同的配置,进一步提高应用的灵活性。
博客
如何在Java后端中实现事件驱动架构:从事件总线到事件溯源
10-02 638
本文将详细探讨如何在Java后端实现事件驱动架构,包括事件总线的实现以及事件溯源的概念,配以代码示例。在实现事件溯源时,我们需要将事件存储在数据库或其他持久化存储中。通过以上步骤,我们实现了一个简单的事件驱动架构,包括事件总线和事件溯源的基本功能。通过实现事件驱动架构,Java后端可以提高系统的解耦性、灵活性和可维护性,为开发和运维提供强有力的支持。事件总线是事件驱动架构的核心组件,负责事件的发布和订阅。类允许我们订阅特定类型的事件,并在事件发生时发布这些事件。类,表示用户注册事件,以及一个通用的。
博客
Java中的泛型编程:深入理解类型参数与类型边界的使用
10-01 658
在Java中,泛型编程是一种重要的特性,它允许我们在编写代码时使用类型参数,从而提高代码的可重用性和类型安全性。本文将深入探讨Java中的泛型,包括类型参数的定义、类型边界的使用以及具体实例。掌握类型参数和类型边界的使用,将帮助我们在日常开发中更好地利用Java的强大功能。我们可以将类型作为参数传递,这样就可以在编译时检查类型安全,避免运行时类型转换异常。关键字来指定类型参数的上边界,表示类型参数必须是指定类型的子类或实现类。关键字来指定类型参数的下边界,表示类型参数必须是指定类型的父类。
博客
Java中的多数据源管理:如何在单个应用中集成多数据库
10-01 638
可以根据业务需求扩展此方案,例如使用不同类型的数据库,或者在微服务架构中灵活切换数据源。借助Spring Boot的强大功能和灵活配置,我们可以轻松管理和访问多个数据库,为复杂应用提供强有力的支持。大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文将介绍如何在Java应用中实现多数据源管理,包括配置、使用和切换数据源的最佳实践。根据数据源创建不同的实体类和仓库接口。在服务层中,我们可以根据需求选择不同的数据源进行操作。同样地,为第二个数据源的实体类和仓库定义类似的类。
博客
Java后端中的数据版本控制:如何管理数据结构的演变
09-30 1312
在现代应用开发中,数据结构的演变是一个常见的问题,尤其是在业务需求不断变化的情况下。通过版本化数据库表、使用数据迁移工具、DTO管理和JSON Schema验证,我们可以建立一套完整的版本控制体系,确保数据与业务逻辑的协调一致。数据版本控制使得我们能够跟踪这些变化,确保数据的兼容性,并且在必要时能够进行回退操作。通过使用不同版本的JSON Schema,我们可以对输入的数据进行验证。在处理请求时,我们可以使用框架(如Spring或Jersey)对请求数据进行验证,以确保符合预定义的结构。
博客
Java应用的配置文件加密:保护敏感信息
09-29 2537
加密配置文件是保障应用安全的重要措施之一,能够防止敏感数据泄露,提高系统的整体安全性。在应用的开发和部署过程中,我们经常需要处理敏感数据,如数据库密码、API密钥等。通过加密配置文件中的敏感信息,我们可以有效保护这些数据,减少潜在的安全风险。在Spring Cloud Config中,我们也可以使用Jasypt来加密配置文件中的敏感信息。在Spring Boot应用中,我们可以通过加密和解密配置文件中的敏感信息来保护这些数据。将敏感数据加密后,将加密后的数据存储在Config Server中。
博客
Java应用的API速率限制:Guava与Resilience4j
09-29 1794
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!今天,我们将探讨在Java应用中实现API速率限制的两种流行工具:Guava和Resilience4j。这些工具能够帮助我们控制请求的频率,避免系统过载,并提供了丰富的配置选项和监控功能。在实际应用中,选择适合的速率限制工具可以提高系统的稳定性和用户体验。Guava是Google开源的一个Java核心库,提供了许多实用的工具和API,其中。使用令牌桶算法来控制操作的速率,适合需要平滑控制请求速率的场景。
博客
Java后端中的持续交付:如何构建从开发到上线的自动化流程
09-28 942
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文将探讨如何在Java后端构建从开发到上线的自动化流程,包括构建、测试和部署。通过以上步骤,我们在Java后端中构建了一个自动化的持续交付流程,从开发到上线实现了高效的自动化。持续交付的核心是自动化和反馈,通过减少人为操作的干扰,提升软件的质量和发布效率。在Jenkins中,可以配置Slack或邮件通知,实时反馈构建和部署的状态。中包含JUnit依赖。是Maven项目的核心文件,定义了项目的依赖关系和构建信息。
博客
Java后端开发中的任务调度:使用Spring Batch实现批处理
09-28 1109
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文将详细介绍如何使用Spring Batch进行任务调度,并实现批处理的完整流程。通过Spring Batch,我们可以轻松地实现任务调度与批处理,处理大规模数据集。本文详细介绍了如何配置、实现和调度批处理任务,希望能为您的开发提供参考与帮助。Spring Batch是一个轻量级的批处理框架,它提供了创建和执行批处理作业的功能。批处理将从数据库中读取用户数据,进行处理,并写入回数据库。在这个示例中,我们将处理用户数据。
博客
Java 序列化与反序列化: 数据持久化的技巧
09-27 423
通过实现和方法,可以自定义序列化和反序列化过程。// 自定义序列化逻辑// 自定义反序列化逻辑。
博客
使用Spring Boot实现分布式任务调度
09-27 570
在分布式系统中,任务调度是一项关键的技术,它能够有效地管理和调度系统中的各种任务,确保任务能够按时执行并具有高可用性和可靠性。Spring Boot作为Java领域流行的开发框架,提供了多种实现分布式任务调度的解决方案。合理利用分布式任务调度技术,可以提升系统的稳定性和效率,确保任务的及时执行。结合Spring Boot,我们可以利用Quartz实现分布式任务调度,确保多个节点上的任务能够协调执行。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
博客
Java中的数据库事务隔离级别:深入理解与应用
09-26 1118
在数据库系统中,事务隔离级别用于解决并发访问数据库时可能出现的问题,如脏读、不可重复读和幻读。READ UNCOMMITTED(读未提交):允许脏读,事务可以读取未提交的数据。READ COMMITTED(读已提交):不能读取未提交的数据,只能读取到已经提交的数据。REPEATABLE READ(可重复读):保证在同一事务中多次读取同样的数据集合时,结果是一样的。SERIALIZABLE(可串行化):最高的隔离级别,事务依次逐个执行,可以避免脏读、不可重复读和幻读。
博客
Java中的分布式协调服务:Zookeeper的应用
09-26 526
Zookeeper是一个开源的分布式协调服务,它提供了一个简单的接口和一致性模型,用于处理分布式环境中的数据。Zookeeper的核心是它的数据模型,它将数据存储在一个分层的命名空间中,类似于文件系统。Zookeeper是一个强大的分布式协调服务,它通过提供数据一致性、命名、配置管理等功能,帮助开发者构建可靠的分布式系统。在Java中,我们可以通过Zookeeper的API来实现节点的创建、读取、监听和分布式锁等功能。正确使用Zookeeper可以显著提高分布式系统的稳定性和可扩展性。
博客
探索 Java 泛型: 强类型编程的艺术
09-25 261
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!Java泛型是Java 5引入的一个强大特性,它允许开发者编写类型安全的代码。在本文中,我们将探索Java泛型的使用和最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值