pwnable.kr-leg WP

最新推荐文章于 2022-09-12 16:09:12 发布

原创最新推荐文章于 2022-09-12 16:09:12 发布 · 466 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#pwnable.kr #leg

pwn学习专栏收录该内容

24 篇文章

订阅专栏

本文深入解析了一道涉及ARM汇编语言的编程谜题，详细分析了key1、key2和key3函数的汇编代码，揭示了ARM处理器的流水线机制如何影响程序计数器(PC)的值，最终解密了正确的key值。

首先看一下源码

#include <stdio.h>
#include <fcntl.h>
int key1(){
	asm("mov r3, pc\n");
}
int key2(){
	asm(
	"push	{r6}\n"
	"add	r6, pc, $1\n"
	"bx	r6\n"
	".code   16\n"
	"mov	r3, pc\n"
	"add	r3, $0x4\n"
	"push	{r3}\n"
	"pop	{pc}\n"
	".code	32\n"
	"pop	{r6}\n"
	);
}
int key3(){
	asm("mov r3, lr\n");
}
int main(){
	int key=0;
	printf("Daddy has very strong arm! : ");
	scanf("%d", &key);
	if( (key1()+key2()+key3()) == key ){
		printf("Congratz!\n");
		int fd = open("flag", O_RDONLY);
		char buf[100];
		int r = read(fd, buf, 100);
		write(0, buf, r);
	}
	else{
		printf("I have strong leg :P\n");
	}
	return 0;
}

这个main函数的逻辑比较清晰明了，输入一个key值，如果key1()+key2()+key3()) == key就能获得flag。但是key1、key2、key3的值都是用汇编代码写的，而且是ARM汇编(通过leg.asm文件发现里面寄存器都是表示成r0什么的) 。X86采用eax作为返回值，ARM使用r0作为返回值。
首先来看key1

(gdb) disass key1
Dump of assembler code for function key1:
   0x00008cd4 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:	add	r11, sp, #0
   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3
   0x00008ce4 <+16>:	sub	sp, r11, #0
   0x00008ce8 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008cec <+24>:	bx	lr

和返回值有关的是下面这两句

   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3

由于ARM采用了流水线机制，当正确读取了PC的值时，该值为当前指令地址加8个字节，也就是key1 = 0x00008cdc + 0x8

在ARM中，程序计数器R15又被记作PC。
ARM7系列处理器中每条指令分取指(IF)、译码(ID)、执行(EX)三个阶段，分别在不同的功能部件上依次独立完成。取指部件完成从存储器装载一条指令，通过译码部件产生下一周期数据路径需要的控制信号，完成寄存器的解码，再送到执行单元完成寄存器的读取、ALU运算及运算结果的写回，需要访问存储器的指令完成存储器的访问。
流水线上虽然一条指令仍需3个时钟周期来完成，但通过多个部件并行，使得处理器的吞吐率约为每个周期一条指令，提高了流式指令的处理速度

下面通过两个图来说明流水线机制，第一个图为非流水时空图，第二个图为流水时空图

非流水线时空图

可以看到，在非流水机制中，6个机器时钟周期执行了2条指令。流水机制中6个时间周期执行了4条指令。PC总是指向“正在取指”的指令，从图中可以看到，执行指令1的时候，正在对指令3进行取址，所以，PC值 = 当前程序执行位置 + 8。

再来看一下key2

(gdb) disass key2
Dump of assembler code for function key2:
   0x00008cf0 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:	add	r11, sp, #0
   0x00008cf8 <+8>:	push	{r6}		; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:	add	r6, pc, #1
   0x00008d00 <+16>:	bx	r6
   0x00008d04 <+20>:	mov	r3, pc
   0x00008d06 <+22>:	adds	r3, #4
   0x00008d08 <+24>:	push	{r3}
   0x00008d0a <+26>:	pop	{pc}
   0x00008d0c <+28>:	pop	{r6}		; (ldr r6, [sp], #4)
   0x00008d10 <+32>:	mov	r0, r3
   0x00008d14 <+36>:	sub	sp, r11, #0
   0x00008d18 <+40>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d1c <+44>:	bx	lr
End of assembler dump.

BX 指令跳转到指令中指定的目标地址。寄存器中为跳转的目标地址，当寄存器的bit[0]为0时，目标地址处的指令为ARM指令；当寄存器的bit[0]为1时，目标地址处的指令为Thumb指令，每条指令2byte，所以PC值 = 当前程序执行位置 + 4。
0x00008cfc <+12>: add r6, pc, #1 这一行执行r6 = 0x00008d04 + 0x1 = 0x00008d05
0x00008d00 <+16>: bx r6 从而bx r6就跳转thumb模式下。
0x00008d04 <+20>: mov r3, pc这一行执行r3 = 0x00008d04 + 0x4
0x00008d06 <+22>: adds r3, #4 这一行执行r3 = r3 + 0x4 = 0x00008d04 + 0x4 + 0x4 = 0x00008d0c
所以返回值r0(r0的值等于r3的值，0x00008d10 <+32>: mov r0, r3)
所以key2=0x00008d04 + 0x4 + 0x4
最后看key3

(gdb) disass key3
Dump of assembler code for function key3:
   0x00008d20 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:	add	r11, sp, #0
   0x00008d28 <+8>:	mov	r3, lr
   0x00008d2c <+12>:	mov	r0, r3
   0x00008d30 <+16>:	sub	sp, r11, #0
   0x00008d34 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d38 <+24>:	bx	lr
End of assembler dump.

0x00008d2c <+12>: mov r0, r3这一行将r3的值给r0,再往上找,0x00008d28 <+8>: mov r3, lr这一行将lr的值给r3。
寄存器R14又被称为连接寄存器(Link Register, LR)，在ARM体系中具有下面两种特殊作用：
(1)存放当前子程序的返回地址。
(2)当异常发生时，LR中保存的值等于异常发生时PC的值减4（或者减2），因此在各种异常模式下可以根据LR的值返回到异常发生前的相应位置继续执行。
这里应该是子程序的返回地址，去main函数中找调用key3函数的地方

   0x00008d7c <+64>:	bl	0x8d20 <key3>
   0x00008d80 <+68>:	mov	r3, r0

在ARM体系中，B和BL指令为跳转指令，二者的不同之处在于，B指令仅仅执行跳转操作；BL指令同时还将下条指令的地址保存到LR寄存器中。所以key3的值为0x00008d80
最后可以得到

key1 = 0x00008cdc + 0x8
key2 = 0x00008d04 + 0x4 + 0x4
key3 = 0x00008d80
key = key1 + key2 + key3
key = 108400

这道题主要是考ARM汇编相关的知识，如果学过这方面的知识，那么这道题非常简单，我对这方面不是很熟，如果有什么不对的地方，还请指出来。