CSAPP的Lab学习——BombLab

文章目录

  • 前言
  • 一、一号炸弹(小试牛刀)
  • 二、二号炸弹(六重循环)
  • 三、三号炸弹(不同输入,不同答案)
  • 四、四号炸弹(判断语句的实现)
  • 五、五号炸弹(跳转,循环与计算)
  • 六、六号炸弹(炸弹?原子弹!)
  • 七、隐藏彩蛋(是不是有什么被忽略了?)
  • 总结


前言

一个本硕双非的小菜鸡,备战24年秋招。刚刚看完CSAPP,真是一本神书啊!遂尝试将它的Lab实现,并记录期间心酸历程。

官方网站:CSAPP官方网站

以下是官方文档翻译:
邪恶的博士。邪恶已经在我们的课堂机器上植入了大量的“二元炸弹”。二元炸弹是一个由一系列相位组成的程序。每个阶段都希望您在stdin上键入一个特定的字符串。如果你输入了正确的字符串,那么这个阶段就会被拆除,炸弹就会继续前进到下一个阶段。否则,炸弹就会通过打印“BOOM!!!”
而爆炸然后终止。当每个阶段都被拆除时,炸弹就被拆除。
有太多的炸弹需要我们处理,所以我们给每个学生一枚炸弹来拆除。你的任务,你别无选择,只能接受,是在到期日前拆除你的炸弹。祝你好运,欢迎加入拆弹小组!

注:

/*当使用一个参数<file>运行时,炸弹读取<file>
*直到EOF,然后切换到标准输入。因此,正如你
*拆除每个阶段,你可以将其拆除字符串添加到<和
避免重新输入。 /

/调用炸弹时,命令行参数不能超过一个。 /

/做各种秘密的事情,使炸弹更难拆除。 /

一共六枚炸弹。


一、一号炸弹(小试牛刀)

printf("Welcome to my fiendish little bomb. You have 6 phases with\n");
printf("which to blow yourself up. Have a nice day!\n");

/* Hmm...  Six phases must be more secure than one phase! */
input = read_line();             /* Get input                   */
phase_1(input);                  /* Run the phase               */
phase_defused();                 /* Drat!  They figured it out!
			      * Let me know how they did it. */
printf("Phase 1 defused. How about the next one?\n");

感谢各位前辈大佬的探索,前人栽树后人乘凉,至少对于我这个四级刚过的菜鸡是真的不友好,看大佬解释和翻译勉勉强强知道到底是啥意思要做啥了,就光看到炸弹爆炸了。。。

简单解释一下就是你要通过反汇编的方式“破解”他的代码,通过输入六串正确的字符串。

第一个炸弹估计就是让你热热身,知道一下这玩意是怎么弄的。
首先使用指令:objdump -d bomb > bomb.asm把可执行文件进行反汇编。
用gdb先把一号炸弹找到,此处是代码

  400e32:	e8 67 06 00 00       	callq  40149e <read_line>
  400e37:	48 89 c7             	mov    %rax,%rdi
  400e3a:	e8 a1 00 00 00       	callq  400ee0 <phase_1>
  400e3f:	e8 80 07 00 00       	callq  4015c4 <phase_defused>

能大概看出来,先调用了read_line读取输入的字符串,然后放到rdi中作为一号参数(此处寄存器规定可以见CSAPP第120页),再调用phase_1函数,让我们继续往下看。

0000000000400ee0 <phase_1>:
  400ee0:	48 83 ec 08          	sub    $0x8,%rsp
  400ee4:	be 00 24 40 00       	mov    $0x402400,%esi
  400ee9:	e8 4a 04 00 00       	callq  401338 <strings_not_equal>
  400eee:	85 c0                	test   %eax,%eax
  400ef0:	74 05                	je     400ef7 <phase_1+0x17>
  400ef2:	e8 43 05 00 00       	callq  40143a <explode_bomb>
  400ef7:	48 83 c4 08          	add    $0x8,%rsp
  400efb:	c3                   	retq   

这里是phase_1内部,可见它是将0x402400位置的作为二号参数传入并调用strings_not_equal函数,剩下的就是比较了。

那么我们可以大胆推测答案就在0x402400中,此时就看gdb的本事了。
推荐Yannick大佬写的gdb使用方式:Introduction to CSAPP(十九)
有很方便的gdb参数等。
总之:
在这里插入图片描述
Border relations with Canada have never been better.就是我们一号炸弹的答案了。
在这里插入图片描述

ps:与加拿大的边境关系从未像现在这样好。这是啥彩蛋么?

二、二号炸弹(六重循环)

   /* The second phase is harder.  No one will ever figure out
     * how to defuse this... */
    input = read_line();
    phase_2(input);
    phase_defused();
    printf("That's number 2.  Keep going!\n");

感谢各位前辈大佬的探索,前人栽树后人乘凉,至少对于我这个四级刚过的菜鸡是真的不友好,看大佬解释和翻译勉勉强强知道到底是啥意思要做啥了,就光看到炸弹爆炸了。。。

简单解释一下就是你要通过反汇编的方式“破解”他的代码,通过输入六串正确的字符串。

第一个炸弹估计就是让你热热身,知道一下这玩意是怎么弄的。
首先使用指令:objdump -d bomb > bomb.asm把可执行文件进行反汇编。
用gdb先把一号炸弹找到,此处是代码

  400e4e:	e8 4b 06 00 00       	callq  40149e <read_line>
  400e53:	48 89 c7             	mov    %rax,%rdi
  400e56:	e8 a1 00 00 00       	callq  400efc <phase_2>

能大概看出来,先调用了read_line读取输入的字符串,然后放到rdi中作为一号参数(此处寄存器规定可以见CSAPP第120页),再调用phase_2函数,让我们继续往下看。

0000000000400efc <phase_2>:
  400efc:	55                   	push   %rbp
  400efd:	53                   	push   %rbx
  400efe:	48 83 ec 28          	sub    $0x28,%rsp
  400f02:	48 89 e6             	mov    %rsp,%rsi
  400f05:	e8 52 05 00 00       	callq  40145c <read_six_numbers>

难度正式开始,首先仍然是经典的申请空间,先把rsp存入rsi中(也就是第二个参数),再调用read_six_numbers函数。

000000000040145c <read_six_numbers>:
  40145c:	48 83 ec 18          	sub    $0x18,%rsp
  401460:	48 89 f2             	mov    %rsi,%rdx
  401463:	48 8d 4e 04          	lea    0x4(%rsi),%rcx
  401467:	48 8d 46 14          	lea    0x14(%rsi),%rax
  40146b:	48 89 44 24 08       	mov    %rax,0x8(%rsp)
  401470:	48 8d 46 10          	lea    0x10(%rsi),%rax
  401474:	48 89 04 24          	mov    %rax,(%rsp)
  401478:	4c 8d 4e 0c          	lea    0xc(%rsi),%r9
  40147c:	4c 8d 46 08          	lea    0x8(%rsi),%r8
  401480:	be c3 25 40 00       	mov    $0x4025c3,%esi
  401485:	b8 00 00 00 00       	mov    $0x0,%eax
  40148a:	e8 61 f7 ff ff       	callq  400bf0 <__isoc99_sscanf@plt>
  40148f:	83 f8 05             	cmp    $0x5,%eax
  401492:	7f 05                	jg     401499 <read_six_numbers+0x3d>
  401494:	e8 a1 ff ff ff       	callq  40143a <explode_bomb>
  401499:	48 83 c4 18          	add    $0x18,%rsp
  40149d:	c3                   	retq   

先来简单看下这个函数,简单来说就是把上一步中第二个参数的地址保存到rdx(第三个参数中),然后栈加4放入rcx(第四个参数),加20放入rax(返回值也是栈顶,第八个参数),然后调整了一下位置到rsp+8处,继续加10放入rsp中,然后同样的8加c放入r9,加8放入r8。。。说实话这段我研究一晚上也不太解释清楚为啥要这么跳着做,查了很多资料也没有见到解释清楚这块的,倒是不影响之后的输入就是了。

ps:猜测大概与sscanf的返回值有关

总之回头看phase_2函数:

0000000000400efc <phase_2>:

  400f0a:	83 3c 24 01          	cmpl   $0x1,(%rsp)
  400f0e:	74 20                	je     400f30 <phase_2+0x34>
  400f10:	e8 25 05 00 00       	callq  40143a <explode_bomb>
  400f15:	eb 19                	jmp    400f30 <phase_2+0x34>
  400f17:	8b 43 fc             	mov    -0x4(%rbx),%eax
  400f1a:	01 c0                	add    %eax,%eax
  400f1c:	39 03                	cmp    %eax,(%rbx)
  400f1e:	74 05                	je     400f25 <phase_2+0x29>
  400f20:	e8 15 05 00 00       	callq  40143a <explode_bomb>
  400f25:	48 83 c3 04          	add    $0x4,%rbx
  400f29:	48 39 eb             	cmp    %rbp,%rbx
  400f2c:	75 e9                	jne    400f17 <phase_2+0x1b>
  400f2e:	eb 0c                	jmp    400f3c <phase_2+0x40>
  400f30:	48 8d 5c 24 04       	lea    0x4(%rsp),%rbx
  400f35:	48 8d 6c 24 18       	lea    0x18(%rsp),%rbp
  400f3a:	eb db                	jmp    400f17 <phase_2+0x1b>
  400f3c:	48 83 c4 28          	add    $0x28,%rsp
  400f40:	5b                   	pop    %rbx
  400f41:	5d                   	pop    %rbp
  400f42:	c3                   	retq   

通俗易懂,rsp与1比较,行就继续,然后add本身(其实就是*2),循环六次。

那么答案就很明显了:1 2 4 8 16 32

在这里插入图片描述

三、三号炸弹(不同输入,不同答案)

    /* I guess this is too easy so far.  Some more complex code will
     * confuse people. */
    input = read_line();
    phase_3(input);
    phase_defused();
    printf("Halfway there!\n");

继续冲刺,开始第三炸弹的破解。
先看这些

0000000000400f43 <phase_3>:
  400f43:	48 83 ec 18          	sub    $0x18,%rsp
  400f47:	48 8d 4c 24 0c       	lea    0xc(%rsp),%rcx
  400f4c:	48 8d 54 24 08       	lea    0x8(%rsp),%rdx
  400f51:	be cf 25 40 00       	mov    $0x4025cf,%esi
  400f56:	b8 00 00 00 00       	mov    $0x0,%eax
  400f5b:	e8 90 fc ff ff       	callq  400bf0 <__isoc99_sscanf@plt>
  400f60:	83 f8 01             	cmp    $0x1,%eax
  400f63:	7f 05                	jg     400f6a <phase_3+0x27>
  400f65:	e8 d0 04 00 00       	callq  40143a <explode_bomb>

传入三四参数,然后注意看,cmp $0x1,%eax是输入值的是否大于1的比较,否则爆炸。跳转400f6a,即:

  400f6a:	83 7c 24 08 07       	cmpl   $0x7,0x8(%rsp)
  400f6f:	77 3c                	ja     400fad <phase_3+0x6a>

  400fad:	e8 88 04 00 00       	callq  40143a <explode_bomb>

第一个输入值大于8就爆炸。那么来看看这块究竟是个啥(此处参考网上各位大佬攻略)
在这里插入图片描述
这就是第一个输入0-7的话对应的第二个值,回到phase_3中看看

  400f7c:	b8 cf 00 00 00       	mov    $0xcf,%eax

  400fb9:	b8 37 01 00 00       	mov    $0x137,%eax

  400f83:	b8 c3 02 00 00       	mov    $0x2c3,%eax

  400f8a:	b8 00 01 00 00       	mov    $0x100,%eax

  400f91:	b8 85 01 00 00       	mov    $0x185,%eax

  400f98:	b8 ce 00 00 00       	mov    $0xce,%eax

  400f9f:	b8 aa 02 00 00       	mov    $0x2aa,%eax

  400fa6:	b8 47 01 00 00       	mov    $0x147,%eax

转换到十进制:

第一个参数第二个参数(二进制形式)第二个参数(十进制形式)
00xcf207
10x137311
20x2c3707
30x100256
40x185389
50xce206
60x2aa682
70x147327

任选一组输入:
在这里插入图片描述

四、四号炸弹(判断语句的实现)

    /* Oh yeah?  Well, how good is your math?  Try on this saucy problem! */
    input = read_line();
    phase_4(input);
    phase_defused();
    printf("So you got that one.  Try this one.\n");

phase_4主力就是func4,这个弄懂了就通了。

000000000040100c <phase_4>:
  40100c:	48 83 ec 18          	sub    $0x18,%rsp
  401010:	48 8d 4c 24 0c       	lea    0xc(%rsp),%rcx
  401015:	48 8d 54 24 08       	lea    0x8(%rsp),%rdx
  40101a:	be cf 25 40 00       	mov    $0x4025cf,%esi
  40101f:	b8 00 00 00 00       	mov    $0x0,%eax
  401024:	e8 c7 fb ff ff       	callq  400bf0 <__isoc99_sscanf@plt>
  401029:	83 f8 02             	cmp    $0x2,%eax
  40102c:	75 07                	jne    401035 <phase_4+0x29>
  40102e:	83 7c 24 08 0e       	cmpl   $0xe,0x8(%rsp)
  401033:	76 05                	jbe    40103a <phase_4+0x2e>
  401035:	e8 00 04 00 00       	callq  40143a <explode_bomb>
  40103a:	ba 0e 00 00 00       	mov    $0xe,%edx
  40103f:	be 00 00 00 00       	mov    $0x0,%esi
  401044:	8b 7c 24 08          	mov    0x8(%rsp),%edi
  401048:	e8 81 ff ff ff       	callq  400fce <func4>
  40104d:	85 c0                	test   %eax,%eax
  40104f:	75 07                	jne    401058 <phase_4+0x4c>
  401051:	83 7c 24 0c 00       	cmpl   $0x0,0xc(%rsp)
  401056:	74 05                	je     40105d <phase_4+0x51>
  401058:	e8 dd 03 00 00       	callq  40143a <explode_bomb>
  40105d:	48 83 c4 18          	add    $0x18,%rsp
  401061:	c3                   	retq   

其实核心就几句话

  401029:	83 f8 02             	cmp    $0x2,%eax
  40102c:	75 07                	jne    401035 <phase_4+0x29>
  40102e:	83 7c 24 08 0e       	cmpl   $0xe,0x8(%rsp)
  401033:	76 05                	jbe    40103a <phase_4+0x2e>
  401035:	e8 00 04 00 00       	callq  40143a <explode_bomb>

传两个值,第一个与14比较,然后调用func4

func4居然真得整个翻译过来,之前三个其实都没有完整翻译,看起来应该是考验整个的情况了。
看其他大佬们都写了一个伪代码解释,我也仿写解释一下吧

//起步没啥好说的,就正常写就行。
// 一顿操作,开空间什么的,唯一注意一下shr    $0x1f,%ecx进行了逻辑右移31位并加上了四参(ecx)
0000000000400fce <func4>:
  400fce:	48 83 ec 08          	sub    $0x8,%rsp
  400fd2:	89 d0                	mov    %edx,%eax
  400fd4:	29 f0                	sub    %esi,%eax
  400fd6:	89 c1                	mov    %eax,%ecx
  400fd8:	c1 e9 1f             	shr    $0x1f,%ecx
  400fdb:	01 c8                	add    %ecx,%eax
  //右移,也就是/2,再把rax和rsi加到rcx上
  400fdd:	d1 f8                	sar    %eax
  400fdf:	8d 0c 30             	lea    (%rax,%rsi,1),%ecx
  //if语句开始,判断edi和ecx的大小,<=的话跳转400ff2
  400fe2:	39 f9                	cmp    %edi,%ecx
  400fe4:	7e 0c                	jle    400ff2 <func4+0x24>
  //是的话,先把eax置0,再进行二次if语句判断,判断edi和ecx的大小,>=的话跳转401007 (其实就是==判断)
  400ff2:	b8 00 00 00 00       	mov    $0x0,%eax
  400ff7:	39 f9                	cmp    %edi,%ecx
  400ff9:	7d 0c                	jge    401007 <func4+0x39>
  //rsp+8,结束(这是第二个if语句肯定的执行,第二个if语句没有else)
  401007:	48 83 c4 08          	add    $0x8,%rsp
  40100b:	c3                   	retq  
  //否则,edx = rcx - 1
  400fe6:	8d 51 ff             	lea    -0x1(%rcx),%edx

简单来说,我们要让rcx = rdi,之前不有个14嘛,就相当于与 14/2比较。(最简单的情况)

0000000000400ee0 <phase_1>:
  400ee0:	48 83 ec 08          	sub    $0x8,%rsp
  400ee4:	be 00 24 40 00       	mov    $0x402400,%esi
  400ee9:	e8 4a 04 00 00       	callq  401338 <strings_not_equal>
  400eee:	85 c0                	test   %eax,%eax
  400ef0:	74 05                	je     400ef7 <phase_1+0x17>
  400ef2:	e8 43 05 00 00       	callq  40143a <explode_bomb>
  400ef7:	48 83 c4 08          	add    $0x8,%rsp
  400efb:	c3                   	retq   

其他情况就有-1之分了,没太细嗦。
应该是0,1,3都可以。
可以稍微解释一下,如果输入的是3的话,rcx(rax + rsi) = 14/2 = 7 > 3(rdi,第一个参数),那么就执行else语句edx = rcx - 1,也就是(7 - 1)/ 2 = 3,这样再次执行func4就可以通过了。依此类推 0 , 1亦可。
总之:

在这里插入图片描述

五、五号炸弹(跳转,循环与计算)

    /* Round and 'round in memory we go, where we stop, the bomb blows! */
    input = read_line();
    phase_5(input);
    phase_defused();
    printf("Good work!  On to the next...\n");

5号炸弹说难不难说简单也不简单,不难是因为我自己就看了个七七八八,明白了啥意思;不简单是看懂了但没完全看懂,最关键的对应没想明白。。。
看代码,第一步判断跳转开始,不满足字符输入为六的就爆炸。

0000000000401062 <phase_5>:
  401062:	53                   	push   %rbx
  401063:	48 83 ec 20          	sub    $0x20,%rsp
  401067:	48 89 fb             	mov    %rdi,%rbx
  40106a:	64 48 8b 04 25 28 00 	mov    %fs:0x28,%rax
  401071:	00 00 
  401073:	48 89 44 24 18       	mov    %rax,0x18(%rsp)
  401078:	31 c0                	xor    %eax,%eax
  40107a:	e8 9c 02 00 00       	callq  40131b <string_length>
  40107f:	83 f8 06             	cmp    $0x6,%eax
  401082:	74 4e                	je     4010d2 <phase_5+0x70>
  401084:	e8 b1 03 00 00       	callq  40143a <explode_bomb>

能大概看出来,先调用了read_line读取输入的字符串,然后放到rdi中作为一号参数(此处寄存器规定可以见CSAPP第120页),再调用phase_1函数,让我们继续往下看。

  4010d2:	b8 00 00 00 00       	mov    $0x0,%eax
  4010d7:	eb b2                	jmp    40108b <phase_5+0x29>

此处是非常关键的六次循环,edx与0xf做与运算,得到的值加上0x4024b0访问数组。

  40108b:	0f b6 0c 03          	movzbl (%rbx,%rax,1),%ecx
  40108f:	88 0c 24             	mov    %cl,(%rsp)
  401092:	48 8b 14 24          	mov    (%rsp),%rdx
  401096:	83 e2 0f             	and    $0xf,%edx
  401099:	0f b6 92 b0 24 40 00 	movzbl 0x4024b0(%rdx),%edx
  4010a0:	88 54 04 10          	mov    %dl,0x10(%rsp,%rax,1)
  4010a4:	48 83 c0 01          	add    $0x1,%rax
  4010a8:	48 83 f8 06          	cmp    $0x6,%rax
  4010ac:	75 dd                	jne    40108b <phase_5+0x29>

下个断点看看0x4024b0是个啥:哦,是对应表
在这里插入图片描述

然后就是最终代码,可以看到0x40245e既是第二个参数传入,一样看看这是啥

  4010ae:	c6 44 24 16 00       	movb   $0x0,0x16(%rsp)
  4010b3:	be 5e 24 40 00       	mov    $0x40245e,%esi
  4010b8:	48 8d 7c 24 10       	lea    0x10(%rsp),%rdi
  4010bd:	e8 76 02 00 00       	callq  401338 <strings_not_equal>

在这里插入图片描述
这就是比较的答案,但因为0x4024b0经过了操作,所以我们得和他对应才能输出想要的值。
以f为例,那个表是<array.3449+8>的第二个,也就是+9。
其实他这里指的是下标值,即0x09、0x0f,0x0e,0x05,0x06和0x07。
这个查表吧:(随便在百度上搜的)
在这里插入图片描述
以此类推,答案有很多种,我选了个数字比较多的:9on567

试试吧:
在这里插入图片描述

六、六号炸弹(炸弹?原子弹!)

    /* This phase will never be used, since no one will get past the
     * earlier ones.  But just in case, make this one extra hard. */
    input = read_line();
    phase_6(input);
    phase_defused();

超级、超级、超级长且恶心的汇编代码。自己吭哧吭哧分析了半个点没整明白,还是参考了几位大佬的分析才勉强弄懂。
这个代码可以分为部分,我们来挨个看看。
首先是第一部分,这个好懂,就是读取六个数,并判断如果少于六个就爆炸。

  401106:	e8 51 03 00 00       	callq  40145c <read_six_numbers>
  40110b:	49 89 e6             	mov    %rsp,%r14
  40110e:	41 bc 00 00 00 00    	mov    $0x0,%r12d
  401114:	4c 89 ed             	mov    %r13,%rbp
  401117:	41 8b 45 00          	mov    0x0(%r13),%eax
  40111b:	83 e8 01             	sub    $0x1,%eax
  40111e:	83 f8 05             	cmp    $0x5,%eax
  401121:	76 05                	jbe    401128 <phase_6+0x34>
  401123:	e8 12 03 00 00       	callq  40143a <explode_bomb>

如果多于6个,r12d++并下面的代码循环6次

  401128:	41 83 c4 01          	add    $0x1,%r12d
  40112c:	41 83 fc 06          	cmp    $0x6,%r12d
  401130:	74 21                	je     401153 <phase_6+0x5f>

循环六次的代码,将edx置7,然后edx=7(初始edx值)-rax,直至六个数字全部改变

  401153:	48 8d 74 24 18       	lea    0x18(%rsp),%rsi
  401158:	4c 89 f0             	mov    %r14,%rax
  40115b:	b9 07 00 00 00       	mov    $0x7,%ecx
  401160:	89 ca                	mov    %ecx,%edx
  401162:	2b 10                	sub    (%rax),%edx
  401164:	89 10                	mov    %edx,(%rax)
  401166:	48 83 c0 04          	add    $0x4,%rax
  40116a:	48 39 f0             	cmp    %rsi,%rax
  40116d:	75 f1                	jne    401160 <phase_6+0x6c>
  40116f:	be 00 00 00 00       	mov    $0x0,%esi
  401174:	eb 21                	jmp    401197 <phase_6+0xa3>

把栈地址偏移量rsp[rsi]给ecx,小于等于1去401183,否则回到401176。

  401197:	8b 0c 34             	mov    (%rsp,%rsi,1),%ecx
  40119a:	83 f9 01             	cmp    $0x1,%ecx
  40119d:	7e e4                	jle    401183 <phase_6+0x8f>
  40119f:	b8 01 00 00 00       	mov    $0x1,%eax
  4011a4:	ba d0 32 60 00       	mov    $0x6032d0,%edx
  4011a9:	eb cb                	jmp    401176 <phase_6+0x82>
  /*401176*/
  401176:	48 8b 52 08          	mov    0x8(%rdx),%rdx
  40117a:	83 c0 01             	add    $0x1,%eax
  40117d:	39 c8                	cmp    %ecx,%eax
  40117f:	75 f5                	jne    401176 <phase_6+0x82>
  401181:	eb 05                	jmp    401188 <phase_6+0x94>

看下0x6032d0这里,发现了秘密,这是个链表!(第三列数值正好就是下一行的地址)
在这里插入图片描述
是332(1),168(2),924(3),691(4),477(5),443(6)
在这里插入图片描述
我们继续分析,rdx -> rsp[rsi *2 + 0x20 ] ,然后+4和0x18比较(我也不晓得这段是个啥。。。)

  401188:	48 89 54 74 20       	mov    %rdx,0x20(%rsp,%rsi,2)
  40118d:	48 83 c6 04          	add    $0x4,%rsi
  401191:	48 83 fe 18          	cmp    $0x18,%rsi
  401195:	74 14                	je     4011ab <phase_6+0xb7>

下一段貌似是链表换数组,空间转移,重排节点。每一个变量都放到了next中。

  4011ab:	48 8b 5c 24 20       	mov    0x20(%rsp),%rbx
  4011b0:	48 8d 44 24 28       	lea    0x28(%rsp),%rax
  4011b5:	48 8d 74 24 50       	lea    0x50(%rsp),%rsi
  4011ba:	48 89 d9             	mov    %rbx,%rcx
  4011bd:	48 8b 10             	mov    (%rax),%rdx
  4011c0:	48 89 51 08          	mov    %rdx,0x8(%rcx)
  4011c4:	48 83 c0 08          	add    $0x8,%rax
  4011c8:	48 39 f0             	cmp    %rsi,%rax
  4011cb:	74 05                	je     4011d2 <phase_6+0xde>

判断输入索引顺序,降序排列

  4011da:	bd 05 00 00 00       	mov    $0x5,%ebp
  4011df:	48 8b 43 08          	mov    0x8(%rbx),%rax
  4011e3:	8b 00                	mov    (%rax),%eax
  4011e5:	39 03                	cmp    %eax,(%rbx)
  4011e7:	7d 05                	jge    4011ee <phase_6+0xfa>
  4011e9:	e8 4c 02 00 00       	callq  40143a <explode_bomb>
  4011ee:	48 8b 5b 08          	mov    0x8(%rbx),%rbx
  4011f2:	83 ed 01             	sub    $0x1,%ebp
  4011f5:	75 e8                	jne    4011df <phase_6+0xeb>

大概就是这样,从头来的话应该是 924(3),691(4),477(5),443(6),332(1),168(2)
别忘了结果是7-的值。
总之:4 3 2 1 6 5

在这里插入图片描述

七、隐藏彩蛋(是不是有什么被忽略了?)

    /* Wow, they got it!  But isn't something... missing?  Perhaps
     * something they overlooked?  Mua ha ha ha ha! */

还真的有彩蛋啊,不过其实不算隐藏太深,毕竟6后面有东西还是很容易发现的。

比起六号炸弹就是个乖宝宝。把输入值和0x6030f0给fun7,如果fun7返回2就成功了。

0000000000401242 <secret_phase>:
  401242:	53                   	push   %rbx
  401243:	e8 56 02 00 00       	callq  40149e <read_line>
  401248:	ba 0a 00 00 00       	mov    $0xa,%edx
  40124d:	be 00 00 00 00       	mov    $0x0,%esi
  401252:	48 89 c7             	mov    %rax,%rdi
  401255:	e8 76 f9 ff ff       	callq  400bd0 <strtol@plt>
  40125a:	48 89 c3             	mov    %rax,%rbx
  40125d:	8d 40 ff             	lea    -0x1(%rax),%eax
  401260:	3d e8 03 00 00       	cmp    $0x3e8,%eax
  401265:	76 05                	jbe    40126c <secret_phase+0x2a>
  401267:	e8 ce 01 00 00       	callq  40143a <explode_bomb>
  40126c:	89 de                	mov    %ebx,%esi
  40126e:	bf f0 30 60 00       	mov    $0x6030f0,%edi
  401273:	e8 8c ff ff ff       	callq  401204 <fun7>
  401278:	83 f8 02             	cmp    $0x2,%eax
  40127b:	74 05                	je     401282 <secret_phase+0x40>
  40127d:	e8 b8 01 00 00       	callq  40143a <explode_bomb>
  401282:	bf 38 24 40 00       	mov    $0x402438,%edi
  401287:	e8 84 f8 ff ff       	callq  400b10 <puts@plt>
  40128c:	e8 33 03 00 00       	callq  4015c4 <phase_defused>
  401291:	5b                   	pop    %rbx
  401292:	c3                   	retq   
  401293:	90                   	nop
  401294:	90                   	nop
  401295:	90                   	nop
  401296:	90                   	nop
  401297:	90                   	nop
  401298:	90                   	nop
  401299:	90                   	nop
  40129a:	90                   	nop
  40129b:	90                   	nop
  40129c:	90                   	nop
  40129d:	90                   	nop
  40129e:	90                   	nop
  40129f:	90                   	nop

看看0x6030f0是个啥:
在这里插入图片描述
是棵树!
在这里插入图片描述
画出来就是这个样子的,还是一棵平衡二叉树。
请添加图片描述

让我们看看fun7,可以看到必须输入的是树的节点值(否则为负)
由答案2向上推。这棵树的递归是左走2,右走2+1.
到了第一层,为了输出为2,根据上面的规律,必须得向左走。(因为右边不可能出现0.5)
第二层必须输出为1,还是一样的道理,只能右走出现02+1才能出现1(答案22)
其实可以在第三层左走,0
2还是0嘛。(答案20)
如图所示,更清楚些。
请添加图片描述
最后一步,看看啥时候用到它。
phase_defused?!内鬼竟在我身边。

  4015f0:	be 19 26 40 00       	mov    $0x402619,%esi
  4015f5:	bf 70 38 60 00       	mov    $0x603870,%edi
  4015fa:	e8 f1 f5 ff ff       	callq  400bf0 <__isoc99_sscanf@plt>
  4015ff:	83 f8 03             	cmp    $0x3,%eax
  401602:	75 31                	jne    401635 <phase_defused+0x71>
  401604:	be 22 26 40 00       	mov    $0x402622,%esi
  401609:	48 8d 7c 24 10       	lea    0x10(%rsp),%rdi
  40160e:	e8 25 fd ff ff       	callq  401338 <strings_not_equal>
  401613:	85 c0                	test   %eax,%eax
  401615:	75 1e                	jne    401635 <phase_defused+0x71>
  401617:	bf f8 24 40 00       	mov    $0x4024f8,%edi
  40161c:	e8 ef f4 ff ff       	callq  400b10 <puts@plt>
  401621:	bf 20 25 40 00       	mov    $0x402520,%edi
  401626:	e8 e5 f4 ff ff       	callq  400b10 <puts@plt>
  40162b:	b8 00 00 00 00       	mov    $0x0,%eax
  401630:	e8 0d fc ff ff       	callq  401242 <secret_phase>

这里是phase_defused内部,可以看到它使用了0x603870这里的字符串,然后输出与0x402622对比,相同调用。
让我们来看看这里是个啥:
在这里插入图片描述
这就是进入的口令。4的答案加上DrEvil
总之:
在这里插入图片描述
彻底结束!
ps:隐藏炸弹的启动就是4的答案(一共四种)加上DrEvil,并不是很多大佬说的固定7 0 DrEvil。


总结

一路回望,诸多不易。只能说CSAPP不愧是神书,其中的lab更是神中神。七发拆弹让我的汇编语言掌握程度更上一层楼,也是第一次认真分析这么一大串的汇编指令,不过u1s1,就我这拆弹技术,怕不是早就爆炸了(笑)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/101024.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【MTK平台】根据kernel log分析wifi scan的时候流程

一 概要: 本文主要讲解根据kernel log分析下 当前路径下(vendor/mediatek/kernel_modules/connectivity/wlan/core/gen4m/)wifi scan的时候代码流程 二. Log分析: 先看Log: 2.1)在Framework层WifiManager.java 方法中,做了一个标记,可以精准的确认时间 这段log可以…

探索UniApp分包

目录 什么是UniApp分包&#xff1f; UniApp分包的原理 优势 如何使用UniApp分包 1.manifest.json文件配置 2.静态图片资源分包注意事项 3.pages.json配置 结论 探索UniApp分包&#xff1a;优化移动应用性能与用户体验 在移动应用开发领域&#xff0c;性能和用户体验是至…

【vue2第七章】vue的四个生命周期与八个钩子函数

vue的四个生命周期与八个钩子函数 Vue的四个生命周期有&#xff1a;创建&#xff08;creation&#xff09;、挂载&#xff08;mounting&#xff09;、更新&#xff08;updating&#xff09;和销毁&#xff08;destroying&#xff09;。 钩子函数是什么&#xff1a; vue生命周…

vue3下的密码输入框(antdesignvue)

参考:vue下的密码输入框 注意:这是个半成品,有些问题(input输入框加了文字间距letter-spaceing,会导致输入到第6位的时候会往后窜出来一个空白框、光标位置页会在数字前面),建议不采用下面这种方式,用另外的(画六个input框更方便) 效果预览 实现思路 制作6个小的正方…

Linux中Tomcat发布war包后无法正常访问非静态资源

事故现象 在CentOS8中安装完WEB环境&#xff0c;首次部署WEB项目DEMO案例&#xff0c;发现可以静态的网页内容&#xff0c; 但是无法向后台发送异步请求&#xff0c;全部出现404问题&#xff0c;导致数据库数据无法渲染到界面上。 原因分析 CentOS请求中提示用来获取资源的连…

Prometheus监控(一)

文章目录 监控对于企业和运维工作的重要性监控&#xff1f;告警&#xff1f;数据采集 Prometheus介绍Prometheus相对于老牌监控的优势和不足 理想的监控系统的实现监控系统设计&#xff08;架构师&#xff09;监控系统的搭建数据采集的编写监控数据分析和算法稳定性测试监控自动…

IPC进程间通信及示例代码

一. 什么是进程通信 进程通信&#xff08; InterProcess Communication&#xff0c;IPC&#xff09;就是指进程之间的信息交换。实际上&#xff0c;进程的同步与互斥本质上也是一种进程通信&#xff08;这也就是待会我们会在进程通信机制中看见信号量和 PV 操作的原因了&#x…

什么?内存爆了?详细解读虚拟内存机制

不知道大家在运行自己写的程序时&#xff0c;有没有发现一个问题&#xff1a;就是物理机器明明只有8G内存&#xff0c;但是我们运行的程序却可以申请到16G的内存&#xff1f;或者说机器上运行的多个进程&#xff0c;占用的总内存已经远超物理内存了&#xff0c;却还能正常工作。…

pdf转换成图片免费软件用哪个?pdf转换成图片就用它

随着技术的发展&#xff0c;现在企业办公运用到的电子文档各种各样&#xff0c;我们日常需要掌握的技能越来越高要求&#xff0c;其中pdf和图片是我们经常接触的文件格式之一&#xff0c;而且这两个文件格式我们会经常将它们进行转换&#xff0c;那么pdf转换成图片怎么操作呢?…

LDAP服务器如何重启

1、find / -name ldap 该命令只会从根路径下查看ldap文件夹 find / -name ldap2、该命令会从根路径/查看所有包含ldap路径的文件夹&#xff0c;会查询出所有&#xff0c;相当于全局查询 find / -name *ldap*2、启动OpenLADP 找到LDAP安装目录后&#xff0c;执行以下命令 #直…

数字孪生智慧仓储的关键特点和优势有哪些

数字孪生智慧仓储是一种基于数字孪生技术的智能仓储解决方案。数字孪生是指使用数字模型来模拟和仿真现实世界中的物理实体或系统的技术。在智慧仓储的上下文中&#xff0c;数字孪生被用来创建虚拟的仓储环境&#xff0c;以实时监测、优化和管理仓储操作。 数字孪生智慧…

vue3升级了些什么

Vue 3 升级了以下几个方面的内容&#xff1a; 响应式系统&#xff1a;Vue 3 使用了 Proxy 对象来替代 Vue 2 中的 Object.defineProperty&#xff0c;这使得响应式系统更加高效和灵活。Vue 3 的响应式系统可以追踪更细粒度的依赖关系&#xff0c;提供了更好的性能和更细致的响应…

Apache的简单介绍(LAMP架构+搭建Discuz论坛)

文章目录 1.Apache概述1.1什么是apache1.2 apache的功能及特性1.2.1功能1.2.2特性 1.3 MPM 工作模式1.3.1 prefork模式1.3.2 worker模式1.3.3 event模式 2.LAMP概述2.1 LAMP的组成2.2 LAMP各组件的主要作用2.3 LAMP的工作过程2.4CGI和FastCGI 3.搭建Discuz论坛所需4.编译安装Ap…

BEVFusion复现 (Ubuntu RTX3090)

https://github.com/ADLab-AutoDrive/BEVFusion 1.环境安装 我的机器是RTX3090&#xff0c;CUDA11.1 1.创建虚拟环境 conda create -n bevfusion python3.8.3 2.安装PyTorch 和 torchvision pip install torch1.8.0cu111 torchvision0.9.0cu111 torchaudio0.8.0 -f https://…

C# 如何将使用的Dll嵌入到.exe应用程序中?

文章目录 前言详细实操简要步骤 前言 有没有想自己开发的exe保留一点神秘&#xff0c;不想让他人知道软件使用了哪些dll; 又或许是客户觉得一个软件里面的dll文件太多了&#xff0c;能不能简单一点&#xff0c;直接双击.exe就可以直接运行了&#xff0c;别搞那么多乱七八糟的。…

vue3-vuex持久化实现

vue3-vuex持久化实现 一、背景描述二、实现思路1.定义数据结构2.存值3.取值4.清空 三、具体代码1.定义插件2.使用插件 四、最终效果 一、背景描述 有时候我们可能需要在vuex中存储一些静态数据&#xff0c;比如一些下拉选项的字典数据。这种数据基本很少会变化&#xff0c;所以…

webassembly003 ggml ADAM (暂记)

Adam优化器的工作方式是通过不断更新一阶矩估计和二阶矩估计来自适应地调整学习率&#xff0c;并利用动量法来加速训练过程。这种方式可以在不同的参数更新方向和尺度上进行自适应调整&#xff0c;从而更有效地优化模型。 https://arxiv.org/pdf/1412.6980.pdf 参数 这些参数…

CSS实现白天/夜晚模式切换

目录 功能介绍 示例 原理 代码 优化 总结 功能介绍 在网页设计和用户体验中&#xff0c;模式切换功能是一种常见的需求。模式切换可以为用户提供不同的界面外观和布局方案&#xff0c;以适应其个人偏好或特定环境。在这篇博客中&#xff0c;我们将探索如何使用纯CSS实现一…

Python所有方向的学习路线图!!

学习路线图上面写的是某个方向建议学习和掌握的知识点汇总&#xff0c;举个例子&#xff0c;如果你要学习爬虫&#xff0c;那么你就去学Python爬虫学习路线图上面的知识点&#xff0c;这样学下来之后&#xff0c;你的知识体系是比较全面的&#xff0c;比起在网上找到什么就学什…

数据结构——哈希表

哈希表 这里没有讲哈希表底层的概念&#xff0c;什么转红黑树&#xff0c;什么链表的&#xff0c;这篇文章主要讲的是如何用C实现哈希表&#xff0c;以及哈希表的基本概念。后面我会出一篇文章来讲C中hashmap中的底层逻辑的知识。 哈希表的概念 哈希表是一种数据结构&#xff0…