CSAPP - bomblab phase_2 分析

CSAPP - bomblab phase_2 分析

文章目录

    • CSAPP - bomblab phase_2 分析
      • 概要
      • 第一次反编译 phase_2()
      • 反编译 explode_bomb()
      • 反编译 read_six_numbers()
      • 第二次反编译 phase_2
      • 整理: 合并所有反编译出的代码

概要

bomblab phase_2 的答案,网络上相关的文章、视频有不少了。不过反汇编这件事情,只看别人答案还是没法覆盖一个汇编小白的技术盲点的,真实的反汇编过程也往往不是想答案那样,一次性顺畅得到结果的。

对于 phase_2, 我尝试翻译 phase_2 的汇编代码到 C 代码, 第一次失败了(临时变量分配栈空间,不熟悉),并且遇到了一些疑问:

  • explode_bomb() 调用了好几次,为什么随便输入一个错的输入,炸弹只爆炸一次?
  • read_six_numbers() 的输入参数是怎样的?第二个参数必须是6个int大小吗?

实际上,直觉仅仅是提供了猜想方向,实际工程中很多 bug 的排查,如果相信了函数名字,就不需要排查 bug 了。要利用汇编知识和调试技能,充分验证你的猜想,恐怕这才是 bomblab 的意义; 而 “输入的数字是6个,第一个数字是1,并且是公比为2的等比数列”这个答案,是在执行了反编译后,自然而然的答案。即使 read_six_numbers() 故意改为 read_seven_numbers(), 我依然可以分析得出正确答案。

第一次反编译 phase_2()

(gdb) disassemble phase_2
Dump of assembler code for function phase_2:                        // phase_2(char* input) {0x0000000000400efc <+0>:     push   rbp                          //0x0000000000400efd <+1>:     push   rbx                          //0x0000000000400efe <+2>:     sub    rsp,0x28                     //0x0000000000400f02 <+6>:     mov    rsi,rsp                      // ??0x0000000000400f05 <+9>:     call   0x40145c <read_six_numbers>  // read_six_numbers(input, ??);0x0000000000400f0a <+14>:    cmp    DWORD PTR [rsp],0x1          // if (*rsp == 1)0x0000000000400f0e <+18>:    je     0x400f30 <phase_2+52>        //      goto label520x0000000000400f10 <+20>:    call   0x40143a <explode_bomb>      // explode_bomb();0x0000000000400f15 <+25>:    jmp    0x400f30 <phase_2+52>        // goto label52;0x0000000000400f17 <+27>:    mov    eax,DWORD PTR [rbx-0x4]      // eax = *(rbx - 4);0x0000000000400f1a <+30>:    add    eax,eax                      // eax *= 2;0x0000000000400f1c <+32>:    cmp    DWORD PTR [rbx],eax          // if (*rbx == eax)0x0000000000400f1e <+34>:    je     0x400f25 <phase_2+41>        //      goto label41;0x0000000000400f20 <+36>:    call   0x40143a <explode_bomb>      // explode_bomb()0x0000000000400f25 <+41>:    add    rbx,0x4                      // rbx += 40x0000000000400f29 <+45>:    cmp    rbx,rbp                      // if (rbx != rbp)0x0000000000400f2c <+48>:    jne    0x400f17 <phase_2+27>        //      goto label270x0000000000400f2e <+50>:    jmp    0x400f3c <phase_2+64>        // goto label640x0000000000400f30 <+52>:    lea    rbx,[rsp+0x4]                // char* rbx = rsp + 40x0000000000400f35 <+57>:    lea    rbp,[rsp+0x18]               // char* rbp = rsp + 240x0000000000400f3a <+62>:    jmp    0x400f17 <phase_2+27>        // goto label270x0000000000400f3c <+64>:    add    rsp,0x28                     //0x0000000000400f40 <+68>:    pop    rbx                          //0x0000000000400f41 <+69>:    pop    rbp                          //0x0000000000400f42 <+70>:    ret                                 // return
End of assembler dump.

很明显, 逐句翻译汇编代码遇到了瓶颈。对于汇编小白,这很正常。先记录下来,逐一击破:

  • sub rsp, 0x28 和 mov rsi, rsp 是在干啥?
  • explode_bomb() 调用了多次吗?随便输入一组数据,为啥只输出一次 BOMB!!!
  • read_six_numbers() 是在干啥?会不会暗藏炸弹?

反编译 explode_bomb()

在分析 phase_2 的汇编代码时, 发现调用了多次 explode_bomb. 比如准备一个非法的输入: 0 1 2 3 4 5, 在仅仅查看 phase_2 汇编代码情况下,直觉会认为应该输出多次 BOOM!!!

然而实际只输出一次。这不免让人疑惑,explode_bomb() 里调用了 exit 吗? 反汇编看看:

(gdb) disassemble explode_bomb
Dump of assembler code for function explode_bomb:           // void explode_bomb() {0x000000000040143a <+0>:     sub    rsp,0x8              //0x000000000040143e <+4>:     mov    edi,0x4025a3         // x /s 0x4025a3 得到 "\nBOOM!!!"0x0000000000401443 <+9>:     call   0x400b10 <puts@plt>  // puts("\nBOOM!!!");0x0000000000401448 <+14>:    mov    edi,0x4025ac         // x /s 0x4025ac 得到 "The bomb has blown up."0x000000000040144d <+19>:    call   0x400b10 <puts@plt>  // puts("The bomb has blown up.");0x0000000000401452 <+24>:    mov    edi,0x8              // int t = 8;0x0000000000401457 <+29>:    call   0x400c20 <exit@plt>  // exit(t);
End of assembler dump.

C代码整理一下:

void explode_bomb()
{puts("\nBOOM!!!");puts("The bomb has blown up.");exit(8);
}

反编译 read_six_numbers()

   0x0000000000400e44 <+164>:   mov    edi,0x4023a80x0000000000400e49 <+169>:   call   0x400b10 <puts@plt>0x0000000000400e4e <+174>:   call   0x40149e <read_line>0x0000000000400e53 <+179>:   mov    rdi,rax0x0000000000400e56 <+182>:   call   0x400efc <phase_2>
Dump of assembler code for function phase_2:0x0000000000400efc <+0>:     push   rbp0x0000000000400efd <+1>:     push   rbx0x0000000000400efe <+2>:     sub    rsp,0x280x0000000000400f02 <+6>:     mov    rsi,rsp0x0000000000400f05 <+9>:     call   0x40145c <read_six_numbers>

上述两段汇编,用来确认, read_six_numbers() 的第一个输入,是 char* input。

(gdb) disassemble read_six_numbers
Dump of assembler code for function read_six_numbers:                   // void read_six_numbers(char* input, int* data) {0x000000000040145c <+0>:     sub    rsp,0x18                         // int* temp[3];0x0000000000401460 <+4>:     mov    rdx,rsi                          // int* c0 = data;0x0000000000401463 <+7>:     lea    rcx,[rsi+0x4]                    // int* c1 = &data[1];0x0000000000401467 <+11>:    lea    rax,[rsi+0x14]                   // int* c5 = &data[5];0x000000000040146b <+15>:    mov    QWORD PTR [rsp+0x8],rax          // temp[1] = c5;0x0000000000401470 <+20>:    lea    rax,[rsi+0x10]                   // int* c4 = &data[4];0x0000000000401474 <+24>:    mov    QWORD PTR [rsp],rax              // temp[0] = c4;0x0000000000401478 <+28>:    lea    r9,[rsi+0xc]                     // int* c3 = &data[3]0x000000000040147c <+32>:    lea    r8,[rsi+0x8]                     // int* c2 = &data[2]0x0000000000401480 <+36>:    mov    esi,0x4025c3                     // x /x 0x4025c3 结果为 "%d %d %d %d %d %d"0x0000000000401485 <+41>:    mov    eax,0x0                          // int ret = 00x000000000040148a <+46>:    call   0x400bf0 <__isoc99_sscanf@plt>   // int ret = sscanf(input, "%d %d %d %d %d %d", c0, c1, c2, c3, temp[0], temp[1]);0x000000000040148f <+51>:    cmp    eax,0x5                          // if (ret > 5)0x0000000000401492 <+54>:    jg     0x401499 <read_six_numbers+61>   //      goto label610x0000000000401494 <+56>:    call   0x40143a <explode_bomb>          // explode_bomb()0x0000000000401499 <+61>:    add    rsp,0x18                         //0x000000000040149d <+65>:    ret                                     // }
End of assembler dump.

x86_64 架构中用于传递函数参数时,如果参数都是整数(或整数指针),那么:

rdi:第一个整数参数
rsi:第二个整数参数
rdx:第三个整数参数
rcx:第四个整数参数
r8:第五个整数参数
r9:第六个整数参数

第七个和第八个参数,用栈传递,那么这两个参数各自占用的栈空间都是 64 位。

这是因为 x86_64 架构中,栈上的数据总是以 64 位为单位对齐的。这意味着即使您传递一个 32 位的参数,它在栈上也会占用 64 位的空间。

因此,第七个和第八个参数,用栈传递,那么这两个参数各自占用的栈空间都是 64 位。

正因如此, 上述反编译过程中, sscanf() 的最后两个参数,才得以确认。

void read_six_numbers(char* input, int* data)
{int* temp[3];int*c0 = data;int* c1 = &data[1];int* c5 = &data[5];temp[1] = c5;int* c4 = &data[4];temp[0] = c4;int* c3 = &data[3];int* c2 = &data[2];int ret = sscanf(input, "%d %d %d %d %d %d", c0, c1, c2, c3, temp[0], temp[1]);if (ret > 5){return;}explode_bomb();
}

第二次反编译 phase_2

这里涉及到了栈的增长。在 x86_64 中,栈底位于高地址,栈顶位于低地址,栈增长意味着栈顶向栈底的相反方向延伸, 也就是说新的栈顶的地址值,是变小了,也就是做减法。rsp 表示栈顶指针。

于是乎可以理解,sub rsp, 0x28 是说栈空间增加 0x28 (40) 字节。这40字节用来存放临时变量。

栈的初始状态:
+-----------------+
|                 | <- 栈顶 (rsp)
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 | <- 栈底 (高地址)
+-----------------+执行 sub rsp, 0x28 后的状态:
+-----------------+
|   未使用空间    | <- 新的栈顶 (rsp - 0x28)
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|   预留空间       | <- 旧的栈顶 (rsp)
+-----------------+
|                 |
+-----------------+
|                 |
+-----------------+
|                 | <- 栈底 (高地址)
+-----------------+栈增长方向:向下(地址减小)

请注意,栈上的 “未使用空间” 现在变成了 “预留空间”,用于存储局部变量或为函数调用做准备。这块空间的大小是 0x28 (40字节)。

(gdb) disassemble phase_2
Dump of assembler code for function phase_2:                        // phase_2(char* input) {0x0000000000400efc <+0>:     push   rbp                          //0x0000000000400efd <+1>:     push   rbx                          //0x0000000000400efe <+2>:     sub    rsp,0x28                     // 临时变量使用。可以先看做 char mem[40];0x0000000000400f02 <+6>:     mov    rsi,rsp                      // 无法确定 read_six_numbers() 第二个参数是什么,盲猜是 int data[10];0x0000000000400f05 <+9>:     call   0x40145c <read_six_numbers>  // read_six_numbers(input, data);0x0000000000400f0a <+14>:    cmp    DWORD PTR [rsp],0x1          // if (data[0] == 1)0x0000000000400f0e <+18>:    je     0x400f30 <phase_2+52>        //      goto label520x0000000000400f10 <+20>:    call   0x40143a <explode_bomb>      // explode_bomb();0x0000000000400f15 <+25>:    jmp    0x400f30 <phase_2+52>        // goto label52;0x0000000000400f17 <+27>:    mov    eax,DWORD PTR [rbx-0x4]      // int t = *(p1-1);0x0000000000400f1a <+30>:    add    eax,eax                      // t *= 2;0x0000000000400f1c <+32>:    cmp    DWORD PTR [rbx],eax          // if (*p1 == t)0x0000000000400f1e <+34>:    je     0x400f25 <phase_2+41>        //      goto label41;0x0000000000400f20 <+36>:    call   0x40143a <explode_bomb>      // explode_bomb()0x0000000000400f25 <+41>:    add    rbx,0x4                      // p1++;0x0000000000400f29 <+45>:    cmp    rbx,rbp                      // if (p1 != p2)0x0000000000400f2c <+48>:    jne    0x400f17 <phase_2+27>        //      goto label270x0000000000400f2e <+50>:    jmp    0x400f3c <phase_2+64>        // goto label640x0000000000400f30 <+52>:    lea    rbx,[rsp+0x4]                // int* p1 = &data[1];0x0000000000400f35 <+57>:    lea    rbp,[rsp+0x18]               // int* p2 = &data[6]; // 0x18 = 16+8 = 24, 24/4=60x0000000000400f3a <+62>:    jmp    0x400f17 <phase_2+27>        // goto label270x0000000000400f3c <+64>:    add    rsp,0x28                     //0x0000000000400f40 <+68>:    pop    rbx                          //0x0000000000400f41 <+69>:    pop    rbp                          //0x0000000000400f42 <+70>:    ret                                 // return
End of assembler dump.
void phase_2(char* input)
{int data[10];read_six_numbers(input, data);if (data[0] == 1){goto label52;}explode_bom();goto label52;
label27:int t = *(p1-1);t *= 2;if (*p1 == t){goto label41;}explode_bomb();
label41:p1++;if (p1 != p2){goto label27;}goto label64;
label52:int* p1 = &data[1];int* p2 = &data[6];goto label27;
label64:return;
}
void phase_2(char* input)
{int data[10];read_six_numbers(input, data);if (data[0] == 1){goto label52;}explode_bom();label52:int* p1 = &data[1];int* p2 = &data[6];label27:int t = *(p1-1);t *= 2;if (*p1 == t){goto label41;}explode_bomb();
label41:p1++;if (p1 != p2){goto label27;}goto label64;label64:return;
}
void phase_2(char* input)
{int data[10];read_six_numbers(input, data);if (data[0] != 1){explode_bomb();}int* p1 = &data[1];int* p2 = &data[6];while (true){int t = *(p1-1);if (*p1 != t){explode_bomb();}p1++;if (p1 == p2){return;}}
}

整理: 合并所有反编译出的代码

void explode_bomb()
{puts("\nBOOM!!!");puts("The bomb has blown up.");exit(8);
}void read_six_numbers(char* input, int* data)
{int* temp[3];int*c0 = data;int* c1 = &data[1];int* c5 = &data[5];temp[1] = c5;int* c4 = &data[4];temp[0] = c4;int* c3 = &data[3];int* c2 = &data[2];int ret = sscanf(input, "%d %d %d %d %d %d", c0, c1, c2, c3, temp[0], temp[1]);if (ret > 5){return;}explode_bomb();
}void phase_2(char* input)
{int data[10];read_six_numbers(input, data);if (data[0] != 1){explode_bomb();}int* p1 = &data[1];int* p2 = &data[6];while (true){int t = *(p1-1);if (*p1 != t){explode_bomb();}p1++;if (p1 == p2){return;}}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/619670.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

迈入AI智能时代!ChatGPT国内版免费AI助手工具 peropure·AI正式上线 一个想法写一首歌?这事AI还真能干!

号外&#xff01;前几天推荐的Peropure.Ai迎来升级&#xff0c;现已支持联网模式&#xff0c;回答更新更准&#xff0c;欢迎注册体验&#xff1a; https://sourl.cn/5T74Hu 相信很多人都有过这样的想法&#xff0c;有没有一首歌能表达自己此时此刻的心情&#xff1a; 当你在深…

虚幻UE 特效-Niagara特效初识

虚幻的Niagara特效系统特别的强大&#xff0c;可以为开发者提供丰富的视觉效果&#xff01; 本篇笔记对Niagara系统进行初步的学习探索 文章目录 前言一、Niagara四大核心组件二、粒子发射器和粒子系统1、粒子发射器的创建2、粒子系统的创建3、Niagara系统的使用 总结 前言 在…

SpringBoot之优化高并发场景下的HttpClient并提升QPS

HttpClient优化思路 使用连接池&#xff08;简单粗暴&#xff09; 长连接优化&#xff08;特殊业务场景&#xff09; httpclient和httpget复用 合理的配置参数&#xff08;最大并发请求数&#xff0c;各种超时时间&#xff0c;重试次数&#xff09; 异步请求优化&#xff0…

常见的远程过程调用(RPC)分析

常见的远程过程调用&#xff08;RPC&#xff09;框架包括了许多开源和商业解决方案&#xff0c;它们旨在简化分布式系统中服务之间的通信和调用。以下是一些常见的 RPC 框架及其特点&#xff1a; gRPC&#xff1a; 基于 HTTP/2 协议的高性能 RPC 框架&#xff0c;由 Google 开…

个人博客教程(Typora官方免费版)

教程 链接&#xff1a;https://pan.baidu.com/s/1kVk3wxrcAPkIy8VrX7CK7g?pwdigiz 提取码&#xff1a;igiz 其实下面的教程都可以通过右键选择你想要的文本来实现&#xff0c;但是掌握基本的语法可以更快&#xff0c;如果看不懂我写的是什么东西可以查看非常简单的入门教程M…

解密Mybatis-Plus:优雅简化你的数据访问层!

目录 1、引言 2、什么是Mybatis-Plus 3、Mybatis-Plus的特点和优势 4、安装和配置Mybatis-Plus 5、使用Mybatis-Plus进行数据库操作 6、Mybatis-Plus的高级功能 7、Mybatis-Plus的扩展和插件 8、与Spring Boot集成 9、结语 1、引言 Mybatis-Plus是一个强大而优雅的Jav…

科研学习|论文解读——信息世界映射方法

题目&#xff1a;信息世界映射的下一步是什么&#xff1f;在情境中理解信息行为/实践的国际化和多学科方法&#xff08;What is next for information world mapping? International and multidisciplinary approaches to understanding information behaviors/ practices in …

Feature Fusion for Online Mutual KD

paper&#xff1a;Feature Fusion for Online Mutual Knowledge Distillation official implementation&#xff1a;https://github.com/Jangho-Kim/FFL-pytorch 本文的创新点 本文提出了一个名为特征融合学习&#xff08;Feature Fusion Learning, FFL&#xff09;的框架&…

进程的状态

进程状态反映进程执行过程的变化。这些状态随着进程的执行和外界条件的变化而转换。在三态模型 中&#xff0c;进程状态分为三个基本状态&#xff0c;即就绪态&#xff0c;运行态&#xff0c;阻塞态。在五态模型中&#xff0c;进程分为新建态、就绪态&#xff0c;运行态&#x…

井盖异动传感器,守护脚下安全

随着城市化进程的加速&#xff0c;城市基础设施的安全问题日益受到关注。其中&#xff0c;井盖作为城市地下管道的重要入口&#xff0c;其安全问题不容忽视。然而&#xff0c;传统的井盖监控方式往往存在盲区&#xff0c;无法及时发现井盖的异常移动。为此&#xff0c;我们推出…

SpringBoot Logback修改日志级别

1. 在application.yml 通过配置配置&#xff0c;按住Ctrl 左键可以看源码 logging:level:root: infocom.dj.test.controller: debugcom.dj.test.service: debug2. 自己写接口直接动态修改日志级别&#xff0c;读取application.yml配置文件算是间接修改 package com.dj.sprin…

JAVA终极对比Python:分析和比较处理大数据的能力

Q1: 算法运行用JAVA 还是python更快&#xff1f;&#xff08;来自chatGPT回答&#xff09; 1、编译与解释&#xff1a; Java 是一种编译型语言&#xff0c;代码在运行之前首先需要被编译成字节码&#xff0c;然后在Java虚拟机&#xff08;JVM&#xff09;上运行。这通常可以提…

xtu oj 1329 连分式

题目描述 连分式是形如下面的分式&#xff0c;已知a,b和迭代的次数n&#xff0c;求连分式的值。 输入 第一行是一个整数T(1≤T≤1000)&#xff0c;表示样例的个数。 每行一个样例&#xff0c;为a,b,n(1≤a,b,n≤9) 输出 每行输出一个样例的结果&#xff0c;使用x/y分式表达…

Python装饰器实现私有属性

1 Python装饰器实现私有属性 从装饰类的外部获取和修改指定属性&#xff0c;进行报错处理&#xff0c;允许类自身在其方法中访问和修改指定属性。 装饰类将私有属性传给装饰器入参&#xff0c;装饰器重载属性点号运算和赋值运算&#xff0c;来拦截属性访问和设置&#xff0c;…

Hive数据定义(2)

hive数据定义是hive的基础知识&#xff0c;所包含的知识点有&#xff1a;数据仓库的创建、数据仓库的查询、数据仓库的修改、数据仓库的删除、表的创建、表的删除、内部表、外部表、分区表、桶表、表的修改、视图。在上一篇文章中介绍了一部分知识点&#xff0c;在本篇文章中将…

Vue2.脚手架

全局安装&#xff1a;npm i vue/cli -g检查是否成功安装&#xff1a;vue --version新建项目&#xff1a;vue create 项目名 通过nodejs安装的时候&#xff0c;可以直接代理和仓库&#xff0c;~/.npmrc文件内容如下&#xff1a; proxysocks5://127.0.0.1:7897 registryhttps:/…

解析流量新篇章:公域与私域共舞,探索2024商业未来

大家好我是模式策划啊浩Zeropan_HH。 嘿&#xff0c;伙伴们&#xff0c;你们好&#xff01;今天我想和大家聊聊2024年的商业趋势&#xff0c;特别是关于流量的那些事儿。 你们有没有觉得&#xff0c;现在的市场环境越来越复杂&#xff0c;流量的获取和运用成了每个企业发展的…

Kafka的核心原理

Topic的分区和副本机制 分区有什么用呢? 作用&#xff1a; 1- 避免单台服务器容量的限制: 每台服务器的磁盘存储空间是有上限。Topic分成多个Partition分区&#xff0c;可以避免单个Partition的数据大小过大&#xff0c;导致服务器无法存储。利用多台服务器的存储能力&#…

Matlab数学建模算法之模拟退火算法(SA)详解

&#x1f517; 运行环境&#xff1a;Matlab &#x1f6a9; 撰写作者&#xff1a;左手の明天 &#x1f947; 精选专栏&#xff1a;《python》 &#x1f525; 推荐专栏&#xff1a;《算法研究》 &#x1f510;#### 防伪水印——左手の明天 ####&#x1f510; &#x1f497; 大家…

WEB 3D技术 three.js 聚光灯

本文 我们来说说 点光源和聚光灯 点光源 就像一个电灯泡一样 想四周发散光 而聚光灯就像手电筒一样 像一个方向射过去 距离越远范围越大 光越弱 我们先来看一个聚光灯的效果 我们可以编写代码如下 import ./style.css import * as THREE from "three"; import { O…