CS:APP二进制炸弹phase3

最新推荐文章于 2024-10-23 18:06:55 发布
最新推荐文章于 2024-10-23 18:06:55 发布
阅读量4.6k 收藏 18
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 汇编语言 工具学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/astrotycoon/article/details/73248964
本文详细解析了phase_3挑战的解决过程,包括利用sscanf读取输入、判断输入值及通过switch语句跳转表进行条件验证的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面

到目前为止,已经比较轻松的完成了前两个阶段。本文来试试第三个阶段吧。let's go !!!


分析

还是一样,先找到调用phase_3处的汇编:


继续反汇编函数phase_3如下:


函数phase_3一走来就调用了sscanf函数来读取我们的输入。有了分析phase_2的经验,很容易从寄存器%esi中获得格式化字符串,x/s显示的结果是"%d %d",即从我们的输入中获得两个int型整数。我们不妨将第一个整数命令为num1,第二个为num2。

紧接着判断sscanf的返回值,如果小于等于1,则触发炸弹。否则继续。

cmpl   $0x7,0x8(%rsp),判断num1是否大于7,如果大于,则调整到地址0x0000000000400fad处,触发炸弹。否则继续。

接下来的两条指令是难点,如果搞懂了这两条指令就差不多了。第一条指令,mov    0x8(%rsp),%eax,将num1的值存储寄存器%eax中,第二条指令jmpq   *0x402470(,%rax,8),这条指令什么意思呢? 可能AT&T的汇编指令不太容易看懂,那我们通过set disassembly-flavor intel来查看intel形式的这条指令为jmp    QWORD PTR [rax*8+0x402470],这下就容易多了 -- 取出地址rax*8+0x402470处的值,并调转到这个值指示的内存地址处继续执行。如果读者有一点点的经验,就可以很容易看出此处是switch语句的跳转表,跳转表的首地址为0x402470,我们可以通过x命令看看这个表中都存储了哪些地址。


因为上面判断num1小于8,因此可知跳转表中应该存储有8个地址。x表明以十六进制的形式显示地址,g表示每8个字节的内存,因为这是x64平台,所以地址占8个字节。

仔细观察这些地址,可以发现都是函数phase_3范围内的地址。

当num1等于0时,跳转到0x0000000000400f7c处执行。如果num2不等于0xcf,则触发炸弹。

当num1等于1时,跳转到0x0000000000400fb9处执行。如果num2不等于0x137,则触发炸弹。

当num1等于2时,跳转到0x0000000000400f83处执行。如果num2不等于0x2c3,则触发炸弹。

当num1等于3时,跳转到0x0000000000400f8a处执行。如果num2不等于0x100,则触发炸弹。

当num1等于4时,跳转到0x0000000000400f91处执行。如果num2不等于0x185,则触发炸弹。

当num1等于5时,跳转到0x0000000000400f98处执行。如果num2不等于0xce,则触发炸弹。

当num1等于6时,跳转到0x0000000000400f9f处执行。如果num2不等于0x2aa,则触发炸弹。

当num1邓毅7时,跳转到0x0000000000400fa6处执行。如果num2不等于0x147,则触发炸弹。

因此可以得出这个阶段的答案有8种,任选其一。分别为(0,207)、(1,311)、(2,707)、(3,256)、(4,389)、(5,206)、(6,682)、(7,327)。

C源码应该如下所示:


void phase_3(const char *input)
{
	//  0x8(%rsp)  0xc(%rsp)
	int num1, num2;
	//     %rdi     %rsi   %rdx   %rcx 
	int result = sscnaf(input, "%d %d", &num1, &num2);
	if (result <= 1) {
		explode_bomb();	
	}

	switch (num1) {
		case 0:	// 0 207
			if (num2 != 0xcf) {
				explode_bomb();
			}
			break;
		case 1:	// 1 311
			if (num2 != 0x137) {
				explode_bomb();
			}
			break;
		case 2:	// 2 707
			if (num2 != 0x2c3) {
				explode_bomb();	
			}
			break;
		case 3:	// 3 256
			if (num2 != 0x100) {
				explode_bomb();	
			}
			break;
		case 4:	// 4 389
			if (num2 != 0x185) {
				explode_bomb();
			}
			break;
		case 5:	// 5 206
			if (num2 != 0xce) {
				explode_bomb();	
			}
			break;
		case 6:	// 6 682
			if (num2 != 0x2aa) {
				explode_bomb();	
			}
			break;
		case 7:	// 7 327
			if (num2 != 0x147) {
				explode_bomb();	
			}
			break;
		default:
			explode_bomb();
			break;
	}
}

总结:

本阶段主要考察switch语句的跳转表,如果能迅速察觉到,没什么难度!继续下一个阶段吧!

二进制炸弹实验
御坂美琴的博客
10-11 6679
在这个实验中,我们需要使用反汇编工具得到汇编代码,并且通过分析和使用gdb调试工具来拆除6个炸弹. 首先通过objdump -d bomb 反汇编bomb得到bomb的汇编代码 首先看phase_1的代码 phase_1考察的是过程调用的参数传递和栈 phase_1开辟了8个字节大小的栈帧,是用来在callq时将下一条指令的地址,即400eee压栈. 输入字符串的
二进制拆弹实验详解_linklab实验
weixin_39908082的博客
12-10 3415
引言本次实验真的是投入巨大,不光是汇编代码艰涩难懂,而且分析过程也很麻烦,从配置环境到拆弹到再配置环境到继续拆弹,前前后后花了四五天的时间才全部搞定。期间参考了不少博客,也查了好多配置环境的手册内容,请教了诸多大佬。由于此次拆弹过程实属不易,还是觉得有必要总结一下拆弹的全过程。天知道我看到这个的时候有多激动(是我太菜了www)话不多说,下面进入正题:环境配置由于这次实验需要对二进制文件进行修改,所...
汇编拆炸弹实验
08-02
炸弹实验实验报告
CS-APP二进制炸弹实验(phase_1-3)
liuyu5210的博客
08-28 1937
《深入理解计算机系统》第三章的bomb lab,拆弹实验:给出一个linux的可执行文件bomb,执行后文件要求分别进行6次输入,每一次输入错误都会导致炸弹爆炸,程序终止。需要通过反汇编来逆向关键代码,得出通关密钥。 相关实验材料可以在CMU的官网下载:http://csapp.cs.cmu.edu/3e/labs.html 目前的水平只能完成到1-3关,详细记录攻关过程。 1.正式开始前的
CSAPP lab2 二进制拆弹 binary bombs phase_3
weixin_30519071的博客
04-03 415
给出对应于7个阶段的7篇博客 phase_1 https://www.cnblogs.com/wkfvawl/p/10632044.htmlphase_2 https://www.cnblogs.com/wkfvawl/p/10636214.htmlphase_3 https://www.cnblogs.com/wkfvawl/p/10651205.htmlphase_4 ht...
CS:APP 二进制炸弹拆解详解
Zayin___的博客
10-14 3196
如果下面官话太多,那只是因为这本来是我的一份实验报告搬过来的。。。 一、实验名称 ​ X86X86X86汇编基础—二进制炸弹 二、实验目的 ​ 1.1.1.初步认识X86X86X86汇编语言; ​ 2.2.2.掌握阅读程序反汇编代码的方法,了解程序在机器上运行的实质; ​ 3.3.3.熟悉LinuxLinuxLinux环境,掌握调试器gdbgdbgdb和反汇编工具objdumpobjdumpobj...
CS:APP BombLab详解
最新发布
zzsyp的博客
10-23 2289
《深入理解计算机系统》CS:APP BombLab实验详解
[祭祖作业一]二进制炸弹破解笔记2
ugly_g的博客
10-03 474
哨兵值 数据结构与算法随笔之------哨兵变量(编程思想与技巧) 编程技巧1_哨兵值(sentinel) 为什么“哨兵值”没有解决错误处理问题 while 循环中的变量 i 控制着最终的循环次数。这是非常流行的一个表示法,具有这个作用的变量有时也称为哨兵变量(Sentinel variable)。 在两个元素的遍历比较过程中,可能会出现一个数组提前遍历结束的情况,为了避免这样的情况,我...
APP Bomb Lab
One of thre_tigers的博客
05-05 1221
实验题目:CS:APP Bomb Lab 实验目的: binary bomb is a Linux executable C program that consists of six phases. Each phase expects the student to enter a particular string on stdin. If the student enters the exp...
CSAPP实验2:Bomb Lab
CD的博客
12-24 2501
这是《深入理解计算机系统(第3版)》的配套实验2:BombLab。实验相关的代码和说明可以从官网下载。
二进制炸弹
05-23
CASPP的实验LAB3二进制炸弹实验。详细分析了6个炸弹与隐藏函数。并讲解了解答过程。
CSAPP】探究BombLab奥秘:Phase_3的解密与实战
朝花夕拾
12-29 1万+
在这篇博文中,作者深入解析了CSAPP(Computer Systems: A Programmer's Perspective)课程中的BombLab实验,聚焦于其中的第三阶段(Phase_3)。文章揭示了Phase_3的解密过程与实战策略,深入讲解了逆向工程和程序攻击的关键技术,为读者提供了深刻的计算机系统学习体验。
二进制bomb实验第三弹
baidu_28805101的博客
06-10 4207
卡耐基梅隆大学二进制bomb实验第三弹
二进制炸弹(深入理解计算机系统)
zhaoyue008的博客
06-02 1531
深入理解计算机系统lab2:bomblab二进制炸弹实验总结
二进制炸弹实验报告
热门推荐
spch2008的专栏
06-08 2万+
接触《深入理解计算机系统》这
计算机系统_炸弹(boom)实验/逆向工程实验(phase_3
Xindolia_Ring的博客
05-14 3107
第三关还是先附上代码0000000000400ef9&lt;phase_3&gt;:  400ef9:   4883 ec 18             sub    $0x18, %rsp  400efd:   488d 4c 24 08          lea    0x8(%rsp), %rcx  400f02:   488d 54 24 0c          lea    0xc(%r...
CS:APP二进制炸弹开篇
astrotycoon
06-14 7984
破解CS:APP二进制炸弹实验的过程。
作业续集_二进制炸弹_手把手教学
cena1001的博客
11-17 7315
前情回顾 上回说到了前4题,接下来说phase_4 phase_4递归 本来以为网上的很多教程都有讲解,实在不行看看别人的教程,可是、、、看了好久也没有和我的一样的题型,本题我认为是最难的一个,没有之一。好了,回顾一下心酸的历程。 08049660 <func4>: 8049660: 55 push %ebp 8049661: 89 e5 mov %esp,%ebp 8049663: 83 ec 18
计算机基础知识测验:从二进制到网络知识
8. **二进制数与十进制数关系**:一个字长为8位的无符号二进制整数最大能表示的十进制数值是2^8 - 1,即255。因此,其数值范围是0到255。 9. **数据集合**:数据库是存储在计算机内相关数据的集合,可以通过查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值