CSAPP lab2 二进制拆弹 binary bombs phase_1

这个实验从开始到完成大概花了三天的时间，由于我们还没有学习编译原理、汇编语言等课程，为了完成这个实验我投机取巧了太多，看了网上很多的解题方法，为了更加深入学习编译反编译，觉得需要从头开始好好梳理一下。这个系列的博客我将按照拆弹个数一个个的分析，应该会有七篇。。。。。。

给出对应于7个阶段的7篇博客

phase_1  https://www.cnblogs.com/wkfvawl/p/10632044.html
phase_2  https://www.cnblogs.com/wkfvawl/p/10636214.html
phase_3  https://www.cnblogs.com/wkfvawl/p/10651205.html
phase_4  https://www.cnblogs.com/wkfvawl/p/10672680.html
phase_5  https://www.cnblogs.com/wkfvawl/p/10703941.html
phase_6  https://www.cnblogs.com/wkfvawl/p/10742405.html
secret_phase  https://www.cnblogs.com/wkfvawl/p/10745307.html

解题前准备

Step1：将下载的炸弹包拷贝到Linux主机上；

Step2：:使用tar -xvf “bomb名”进行解压；

解压后生成3个文件：

1）README：炸弹所属的用户信息；

2）bomb：二进制炸弹文件；

3）bomb.c：二进制炸弹文件的框架源文件，供解题者参考。

Step3：使用objdump -d bomb对二进制炸弹进行反汇编，并将其保存到一个文本文件中。

注：

1、这里将反汇编生成的文件重定向到asm.txt，后续的解题过程均通过分析该文件进行。

2、本例所有的分析过程均在vim中进行，大家可以使用自己熟悉的工具。

1 phase_1

phase_1要求输入一个字符串，二进制炸弹会判断输入的字符串是否与目标字符串相等。

观察框架源文件bomb.c：

从上可以看出：

1、首先调用了read_line()函数，用于输入炸弹秘钥，输入放置在char* input中。

2、调用phase_1函数，输入参数即为input，可以初步判断，phase_1函数将输入的input字符串与程序内部的炸弹秘钥进行比较。

因此下一步的主要任务是从asm.txt中查找在哪个地方调用了readline函数以及phase_1函数。

1.1 寻找并分析调用phase_1函数的代码

打开asm.txt，在其中搜索phase_1：

从上图可以看出一些信息：

1、第330行：调用了read_line函数；read_line的返回结果（char* input）放置在eax（累加器）寄存器中。（从函数返回的结果一般都放置在eax寄存器中）

2、第331行：将read_line函数的返回结果放置在当前esp（栈指针寄存在）指针指向的栈顶。

3、第332行：在逻辑地址0x8048b47位置调用了phase_1函数。同时也说明了phase_1函数的入口地址为0x8048c00。

4、结合前面bomb.c的分析，从上可以看出第331行，是在为调用phase_1准备参数，我们可以分析出此时函数调用栈的情况：

5、从上面可以看出，phase_1函数入口在虚拟地址0x8048c00，下一步需要分析phase_1函数。

1.2 phase_1函数分析

在asm.txt中寻找8048c00（或者继续寻找phase_1）。

从上图可以看出一些信息：

1、第378行：sub $0x1c, %esp，将函数栈空间扩展了0x1c字节（28个字节）
2、第379行：将0x804a3ec 放置到了esp+4的地方。
3、第381/382行：将input的内容放置到了esp的地方。注：20（%esp）正好是栈中存放input的内容。
4、第383行：调用strings_not_equal函数。
5、显然，第379行以及第381/382行是在为调用strings_not_equal函数准备参数。在调用strings_not_equal函数之前（即382行执行之后，383行执行之前），

函数栈帧变成如下：

6、第384行：test %eax %eax，是对eax寄存器里的内容（string_not_equal函数的返回内容）进行位与操作，如果为0，则置zf标志（零标志）为1；

7、第385行：是一个je指令，je指令判断zf标志（零标志）为1时（也即strings_not_equal函数返回的是0的情况下），跳转到phase_2 + 0x20的地方，即0x8048c20的地方，说明炸弹拆除成功。否则，call 804939b <explode_bomb>，顾名思义，是爆炸炸弹，即拆除炸弹失败。

8、从上面的分析来看，上图中显示的栈帧中，esp的内容是输入的字符串的首地址，而esp + 4的内容是0x804a3ec，应该是在程序中保存的被比较的字符串（即拆弹字符串）的首地址，而按照strings_not_equal的名字来看，如果是不等，则返回1，等则返回0。如果等，代表输入的拆弹字符串是正确的。

C语言伪代码：

int32_t strings_not_equal(int32_t a1, int32_t a2);

void explode_bomb(int32_t a1, int32_t a2);

void phase_1(int32_t a1) {
    int32_t eax2;
    int32_t v3;
    eax2 = strings_not_equal(a1, "Why make trillions when we could make... billions?");
    if (eax2 != ) {
        explode_bomb(v3, a1);
    }
    return;
}

所以下一步应该在运行的时候，查看0x804a3ec地址的内容，这即是我们要输入的拆弹字符串。

但为进一步判断我们上面的分析，下面再大致分析一下strings_not_equal函数。

1.3 strings_not_equal函数分析

根据上面的代码，可以看出strings_not_equal函数的地址在0x80490ba的地方。搜索80490ba或者strings_not_equal。

执行第762 - 765行之后，函数栈帧为：

注意：

1、第766行，将esp + 0x14的内容（input（输入字符串首地址））送入到了ebx寄存器，第767行，将esp + 0x18的内容（0x804a3ec）送入到了esi寄存器。验证了我们前面所介绍的0x804a3ec地址所在的地方应该是拆弹字符串所在的首地址。

2、768-770行：求input字符串的长度，结果送入到edi寄存器。

3、771-772行：求0x804a3ec字符串的长度，结果保存在eax寄存器中。

4、773行：将1送入edx，通过后面的分析，可以知道edx存放的是返回结果，也即默认返回结果为1，即不等。

5、774-775行：比较edi和eax的内容，即input字符串与0x804a3ec为首地址的字符串长度进行比较，如果不等，则跳转到strings_not_equal + 0x63的地方：0x80490ba + 0x63 = 0x804911d（此地的指令是将edx的内容送入到eax，并返回，注意第773行，edx的内容被赋值为1），也即返回1，代表两个字符串不等。

6、后面的汇编代码，是逐一比较两个字符串的内容，如果相等，则返回0，如果不等则返回1。

综合前面的分析，以C语言来表示strings_not_equal，其大致含义是：

int32_t string_length(signed char* a1);

int32_t strings_not_equal(signed char* a1, signed char* a2) {
    signed char* ebx3;
    signed char* esi4;
    int32_t eax5;
    int32_t eax6;
    int32_t edx7;
    int32_t eax8;
    int32_t eax9;
    ebx3 = a1;
    esi4 = a2;
    eax5 = string_length(ebx3);
    eax6 = string_length(esi4);
    edx7 = ;
    if (eax5 != eax6) {
        addr_0x804911d_2:
        return edx7;
    } else {
        eax8 = (int32_t)(uint32_t)(unsigned char)*ebx3;
        if (*(signed char*)&eax8 == ) {
            edx7 = ;
            goto addr_0x804911d_2;
        } else {
            if (*(signed char*)&eax8 == *esi4) {
                do {
                    ++ebx3;
                    ++esi4;
                    eax9 = (int32_t)(uint32_t)(unsigned char)*ebx3;
                    if (*(signed char*)&eax9 == )
                        break;
                } while (*(signed char*)&eax9 == *esi4);
                goto addr_0x8049118_8;
            } else {
                edx7 = ;
                goto addr_0x804911d_2;
            }
        }
    }
    edx7 = ;
    goto addr_0x804911d_2;
    addr_0x8049118_8:
    edx7 = ;
    goto addr_0x804911d_2;
}

以上C语言代码基本和汇编代码相对应，可以对照理解。

1.4 寻找拆弹字符串

使用objdump --start-address=0x804a3ec -s bomb，即可查看以0x804a3ec开头的段信息。下图是一个示例，我们可以看出0x804a3ec开头的字符串，正是前面找到的拆弹字符串！

从这里我们也可以看出，所有直接硬编码进入代码的字符串，以只读数据的形式存放在只读数据段中。