【CSAPP】二进制拆弹实验

一、实验目的

1、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解；

2、提高分析问题解决问题的能力。

二、实验内容

通过程序反汇编和逆向工程拆除所给的目标代码文件中的二进制炸弹。一个“Binary Bombs”（二进制炸弹）是一个Linux可执行C程序，包含phase1~phase6共6个阶段，即6个炸弹。炸弹运行各阶段要求输入一个字符串，若输入符合程序预期，该阶段炸弹被“拆除”，否则“爆炸” 。

本实验要求拆除至少3个炸弹，多则不限。

三、实验工具和环境

软件工具：gdb调试器和objdump；

实验语言：C语言，AT&T汇编语言

实验环境： linux 

四、拆炸弹过程分析

Phase_1

1.运用objdump反汇编并将汇编代码输出到asm.txt中

2.在汇编代码中找到phase_1，阅读程序

3.用gdb读出内存段里查找的相应地址：

我们查询的地址为0x402430：

即可得到答案，运行bomb输入：

成功。

Phase_2

1．打开asm.txt，阅读Phase_2程序

2.使用gdb设断点，一步步运行检查

这题较简单，通过阅读程序可判断出我们需要输入六个数字，且它们的规律是：从头开始，后一个数减前一个数的差依次为1、2、3、4、5，所以有多个解。由400f2a到400f2e可知：前提条件是第一个数大于0

Phase_3

要求输入的是两个数字

一开始输入的数为7 222，这说明%rsp+8指向我们输入的第一个数，并且它等于5

同理可得0xc(%rsp)为我们输入的第二个数，它应该和rax相等，查得它为4294966671，

成功

Phase_4

要求输入的是两个整数

阅读phase_4，得知第一个输入的数需小于等于14，第二个输入的数必须为7

阅读func4函数，可知这是一个递归函数

综上可知，将第一个数放入func4函数计算后的结果需等于7

由此我们有两种方法求得结果，第一种是在0至14里一个一个数试，第二种是解读func4的运行原理，逆推，找到答案。将func4翻译成C语言，不难找到答案：7

 

Phase_5

阅读phase5：

猜测我们要输入一个长度为6的字符串：

查看该处存储的内容为“devils”：

继续阅读，可知我们要从这一段字符串中找到“devils”按顺序拼凑起来，用十六进制数记录从第一个字母开始移动的位数，最后保留每个数的后四位，对照ASCCII码找出原来的字符串

从“maduiersnfotvbyl”找出“devils”，

移动：2 5 12 4 15 7

对应：0010  0101  1100  0100  1111  0111

查表：

得到答案“BELDOG”，成功

Phase_6

阅读程序，推断我们需要输入6个数字

输入的数必须小于等于6

两个数不能相等

链表首地址

由下图可知，此链表的首地址为0x6032f0，每个链表单元存放三个数（每个都是4字节，共12字节），第一个为程序预先写好的数字，第二个为用户输入的数字，第三个为下一个链表单元的起始地址。

循环比较大小

由上已知0x61(3)<0x9b(4)<0xe9(1)<0x197(2)<0x310(5)<0x3b1(6)

由jge指令，得从大到小排序：6 5 2 1 4 3

但由于前面用7 对每个数做了减法

得正确答案应该为1 2 5 6 3 4

secret_phase

查看代码，在phase_defused里调用了secret_phase函数：

重点关注出现的地址，用gdb查看地址的内容，这个地址里有一个字符串“DrEvil”：

这个地址提示了字符串应该是跟在两个数字后面出现，而根据提示，字符串是出现在phase_4：

尝试在第四个炸弹的密钥后面加上字符串“DrEvil”，查看结果：

查看secret_phase，在其中调用了 fun7函数，且其返回值只能是1，否则爆炸：

分析fun7函数，发现这是一个树状链表的递归，：

用gdb查询地址里的数字，按要求，下图从结点50开始，沿黑色路线上的数字都符合要求，本题答案不唯一：

任取一个答案，成功：

五、程序运行结果截图