Binary Bomb,二进制炸弹。
偶然在网上看到这么一个玩意,逆向工程,一共有6关,每一关需要玩家输入一个字符串,如成功则进入下一关,失败则exit。
因为以前也学习过crack方面的东西,所以非常有亲切感,就下下来玩一玩。
没想到太久没搞,花了一个通宵才把6关通过。久违的兴奋感。。
这篇文章就不给出答案了,只是给一个足够任何人动手找到答案的指导。
通过这个逆向工程游戏,我们主要可以学到:
1. 使用objdump,gdb等工具进行程序分析的能力。
2. 了解编译器是如何调用函数,如何传入参数,保存返回值,如何实现高级语言中的循环等等,加深对堆栈的理解。
下面开始简略的分析。
当然要先分析main函数了。
8048a68: call 80490f0 ;从read_line字面就可以看出,读取用户出入的字符串,把地址放入$eax中
8048a6d: mov %eax,(%esp) ;把字符串地址压栈,作为参数传给函数phase_1
8048a70: call 8048b1c ;第一段
分析main函数的反汇编代码可以看出来基本上每一关在main中都是上面3个语句。
然后就可以进入phase_1进行分析了。
08048b1c :
8048b1c: 55 push %ebp
8048b1d: 89 e5 mov %esp,%ebp
8048b1f: 83 ec 10 sub $0x10,%esp
8048b22: 68 78 96 04 08 push $0x8049678 ;传给strings_not_equal的第二个参数
8048b27: ff 75 08 pushl 0x8(%ebp) ;传给strings_not_equal的第一个参数
8048b2a: e8 00 04 00 00 call 8048f2f ;函数声明应该是int strings_not_equal(char *s1, char *s2),相等则返回0
8048b2f: 83 c4 10 add $0x10,%esp
8048b32: 85 c0 test %eax,%eax ;$eax中保存了strings_not_euqal的返回结果,测试是否为0
8048b34: 74 05 je 8048b3b ;如果相等则跳转到最后,成功返回
8048b36: e8 b1 08 00 00 call 80493ec ; 否则调用 explode_bomb,从名字就可以看出来 炸弹爆炸了。
8048b3b: c9 leave
8048b3c: c3 ret
注释解释的很清楚了。我们需要知道两点:
1:通常函数返回结果保存在$eax寄存器中。
2:进入函数保存并设置完ebp后,$ebp+4保存了返回地址,$ebp+8保存第一个参数,$ebp+12保存第二个参数,以此类推。
phase_1做的事情就是把用户输入的字符串和位于内存0x8049678起始的一个字符串进行比较,如果相同则通关。
所以我们可以用objdump查看0x8049678处的ascii值,可以用命令objdump --start-address=0x8049678 -s bomb | more 查看。
这个字符串就是第一关的答案。
phase_2:
08048b3d :
8048b3d: 55 push %ebp
8048b3e: 89 e5 mov %esp,%ebp
8048b40: 56 push %esi
8048b41: 53 push %ebx
8048b42: 83 ec 28 sub $0x28,%esp ;分配栈空间
8048b45: 8d 45 e0 lea -0x20(%ebp),%eax ;这个地址属于phase_2的栈空间里
8048b48: 50 push %eax ;read_six_numbers的第二个参数压栈,这是个地址,后面知道是用来保存6个数字用的
8048b49: ff 75 08 pushl 0x8(%ebp) ;把用户输入的字符串地址压栈,作为调用read_six_numbers第一个参数
8048b4c: e8 84 03 00 00 call 8048ed5 ;调用read_six_numbers
8048b51: 83 c4 10 add $0x10,%esp
8048b54: 83 7d e0 01 cmpl $0x1,-0x20(%ebp) ;$ebp-0x20保存了第一个数字,$ebp-0x20+4保存了第二个数字,以此类推。
;这个cmpl语句检查$ebp-0x20中的int型整数是否等于1.
8048b58: 74 05 je 8048b5f ;如果等于1则继续
8048b5a: e8 8d 08 00 00 call 80493ec ;否则炸弹爆炸
8048b5f: bb 02 00 00 00 mov $0x2,%ebx ;$ebp初始化为2
8048b64: 8d 75 e0 lea -0x20(%ebp),%esi ;下面开始一段循环,这段循环用c伪代码解释比较清楚
8048b67: 89 d8 mov %ebx,%eax
8048b69: 0f af 44 9e f8 imul -0x8(%esi,%ebx,4),%eax
8048b6e: 3b 44 9e fc cmp -0x4(%esi,%ebx,4),%eax
8048b72: 74 05 je 8048b79
8048b74: e8 73 08 00 00 call 80493ec
8048b79: 43 inc %ebx
8048b7a: 83 fb 07 cmp $0x7,%ebx
8048b7d: 75 e8 jne 8048b67
8048b7f: 8d 65 f8 lea -0x8(%ebp),%esp
8048b82: 5b pop %ebx
8048b83: 5e pop %esi
8048b84: c9 leave
8048b85: c3 ret
所以我们输入的字符串必须是"num1 num2 num3 num4 num5 num6"。当然不是随便输入6个数字,在得到了6个数字后,要进行一段循环验证,用c伪代码解释一下:
int A[6];
if(A[0]!=1)
call explode_bomb
int ebx = 2;
int i=1;
do{
int eax = ebx;
eax *= A[i-1];
if(A[i]!= eax)
call explode_bomb
++i;
++ebx;
}
while(ebx!=7)
return success
也就是6个数分别有一个乘法因子为factor[] = {1,2,3,4,5,6}。
必须满足A[i] = A[i-1]*factor[i]; A[0] = 1。 这样很容易推导出6个数字。这关也就解决了。下面是read_six_numbers的分析。
08048ed5 :
8048ed5: 55 push %ebp
8048ed6: 89 e5 mov %esp,%ebp
8048ed8: 83 ec 08 sub $0x8,%esp
8048edb: 8b 55 0c mov 0xc(%ebp),%edx ;提出传入的第二个参数,存放6个数字的首地址。
8048ede: 8d 42 14 lea 0x14(%edx),%eax
8048ee1: 50 push %eax ;压入第8个参数 存放第6个数字的地址
8048ee2: 8d 42 10 lea 0x10(%edx),%eax
8048ee5: 50 push %eax ;压入第7个参数 存放第5个数字的地址
8048ee6: 8d 42 0c lea 0xc(%edx),%eax
8048ee9: 50 push %eax ;压入第6个参数 存放第4个数字的地址
8048eea: 8d 42 08 lea 0x8(%edx),%eax
8048eed: 50 push %eax ;压入第5个参数 存放第3个数字的地址
8048eee: 8d 42 04 lea 0x4(%edx),%eax
8048ef1: 50 push %eax ;压入第4个参数 存放第2个数字的地址
8048ef2: 52 push %edx ;压入第3个参数(放置第一个数字的地址,见sscanf的声明)
8048ef3: 68 5c 99 04 08 push $0x804995c ;压入第二个参数:通过objdump可以看到是"%d %d %d %d %d %d"。
8048ef8: ff 75 08 pushl 0x8(%ebp) ;压入第一个参数:我们输入的字符串。
8048efb: e8 78 f9 ff ff call 8048878 ;调用sscanf, int sscanf(const char *buffer,const char *format,[argument ]...);
8048f00: 83 c4 20 add $0x20,%esp
8048f03: 83 f8 05 cmp $0x5,%eax
8048f06: 7f 05 jg 8048f0d
8048f08: e8 df 04 00 00 call 80493ec
8048f0d: c9 leave
8048f0e: c3 ret
phase_3:
注释已经解释的很清楚了。
要求输入的字符串格式是"num1 num2"。
08048b86 :
8048b86: 55 push %ebp
8048b87: 89 e5 mov %esp,%ebp
8048b89: 83 ec 18 sub $0x18,%esp
8048b8c: 8d 45 f8 lea -0x8(%ebp),%eax
8048b8f: 50 push %eax ;存放第二个数字地址 sscanf第四个参数
8048b90: 8d 45 fc lea -0x4(%ebp),%eax
8048b93: 50 push %eax ;存放第一个数字地址 sscanf的第三个参数
8048b94: 68 68 99 04 08 push $0x8049968 ;格式化字符串 sscanf 第二个参数 该地址的内容为"%d %d"
8048b99: ff 75 08 pushl 0x8(%ebp) ;输入的字符串 sscanf 第一个参数
8048b9c: e8 d7 fc ff ff call 8048878 ;从输入的字符串中读取两个数字
8048ba1: 83 c4 10 add $0x10,%esp
8048ba4: 83 f8 01 cmp $0x1,%eax ;sscanf的返回结果,为成功读取的数字个数,如果<=1则肯定失败
8048ba7: 7f 05 jg 8048bae
8048ba9: e8 3e 08 00 00 call 80493ec
8048bae: 83 7d fc 07 cmpl $0x7,-0x4(%ebp)
8048bb2: 77 65 ja 8048c19 ;如果第一个数字>7,则跳转到后面的explode_bomb
8048bb4: 8b 45 fc mov -0x4(%ebp),%eax
8048bb7: ff 24 85 cc 96 04 08 jmp *0x80496cc(,%eax,4) ;这个间接跳转的意思是 跳转到 0x80496cc+4$eax 地址中的数字 所以用objdump查看0x80496cc中的内容,
;因为$eax也就是第一个数字要>1所以有一些可能的跳转,很大的可能是有几个开放的答案,这里我就
;选择了$eax=2来做,结果也是通过的。
8048bbe: b8 00 00 00 00 mov $0x0,%eax
8048bc3: eb 4d jmp 8048c12
8048bc5: b8 00 00 00 00 mov $0x0,%eax
8048bca: eb 41 jmp 8048c0d
8048bcc: b8 00 00 00 00 mov $0x0,%eax
8048bd1: eb 35 jmp 8048c08
8048bd3: b8 00 00 00 00 mov $0x0,%eax
8048bd8: eb 29 jmp 8048c03
8048bda: b8 00 00 00 00 mov $0x0,%eax
8048bdf: eb 1d jmp 8048bfe
8048be1: b8 00 00 00 00 mov $0x0,%eax
8048be6: eb 11 jmp 8048bf9
8048be8: b8 59 03 00 00 mov $0x359,%eax
8048bed: eb 05 jmp 8048bf4
8048bef: b8 00 00 00 00 mov $0x0,%eax
8048bf4: 2d df 01 00 00 sub $0x1df,%eax
8048bf9: 05 bd 02 00 00 add $0x2bd,%eax
8048bfe: 2d db 02 00 00 sub $0x2db,%eax
8048c03: 05 f2 00 00 00 add $0xf2,%eax
8048c08: 2d 86 00 00 00 sub $0x86,%eax
8048c0d: 05 86 00 00 00 add $0x86,%eax
8048c12: 2d 9b 01 00 00 sub $0x19b,%eax
8048c17: eb 0a jmp 8048c23
8048c19: e8 ce 07 00 00 call 80493ec
8048c1e: b8 00 00 00 00 mov $0x0,%eax
8048c23: 83 7d fc 05 cmpl $0x5,-0x4(%ebp) ;要求第一个数字<=5
8048c27: 7f 05 jg 8048c2e
8048c29: 3b 45 f8 cmp -0x8(%ebp),%eax ;经过一系列对eax的加加减减,最后要求我们输入的第二个数字要和eax相等。
;我们根据之前选择的第一个数字,查看此时$eax的值作为第二个数字即可。
8048c2c: 74 05 je 8048c33
8048c2e: e8 b9 07 00 00 call 80493ec
8048c33: c9 leave
8048c34: c3 ret
phase_4
这一关感觉比较简单,我们输入一个数字当做参数调用func4,如果返回值等于0x90(144)则通关。
只要分析一下func4函数即可。
这个func4函数其实就是计算斐波纳契数列的函数。
08048c71 :
8048c71: 55 push %ebp
8048c72: 89 e5 mov %esp,%ebp
8048c74: 83 ec 1c sub $0x1c,%esp
8048c77: 8d 45 fc lea -0x4(%ebp),%eax
8048c7a: 50 push %eax ;存放数字的地址
8048c7b: 68 6b 99 04 08 push $0x804996b ;参数压栈 格式化字符串 ("%d")
8048c80: ff 75 08 pushl 0x8(%ebp) ;参数压栈 输入的字符串
8048c83: e8 f0 fb ff ff call 8048878 ;经过sscanf 把输入的数字转换成int存入$ebp-4地址中。
8048c88: 83 c4 10 add $0x10,%esp
8048c8b: 83 f8 01 cmp $0x1,%eax
8048c8e: 75 06 jne 8048c96
8048c90: 83 7d fc 00 cmpl $0x0,-0x4(%ebp) ;如果该数字<=0 则失败
8048c94: 7f 05 jg 8048c9b
8048c96: e8 51 07 00 00 call 80493ec
8048c9b: ff 75 fc pushl -0x4(%ebp) ;参数压栈
8048c9e: e8 92 ff ff ff call 8048c35 ;调用func4(int i)函数
8048ca3: 83 c4 04 add $0x4,%esp
8048ca6: 3d 90 00 00 00 cmp $0x90,%eax ;判断结果是否等于0x90
8048cab: 74 05 je 8048cb2
8048cad: e8 3a 07 00 00 call 80493ec
8048cb2: c9 leave
8048cb3: c3 ret
08048c35 :
8048c35: 55 push %ebp
8048c36: 89 e5 mov %esp,%ebp
8048c38: 56 push %esi
8048c39: 53 push %ebx
8048c3a: 8b 5d 08 mov 0x8(%ebp),%ebx ;$ebx为传入的参数i
8048c3d: 83 fb 01 cmp $0x1,%ebx ;如果ebx<=1 则返回1
8048c40: 7f 07 jg 8048c49
8048c42: be 00 00 00 00 mov $0x0,%esi
8048c47: eb 1e jmp 8048c67
8048c49: be 00 00 00 00 mov $0x0,%esi
8048c4e: 83 ec 0c sub $0xc,%esp
8048c51: 8d 43 ff lea -0x1(%ebx),%eax
8048c54: 50 push %eax ;ebx-1压栈
8048c55: e8 db ff ff ff call 8048c35 ;调用func4(i-1)
8048c5a: 83 eb 02 sub $0x2,%ebx ;ebx = ebx-2
8048c5d: 01 c6 add %eax,%esi
8048c5f: 83 c4 10 add $0x10,%esp
8048c62: 83 fb 01 cmp $0x1,%ebx
8048c65: 7f e7 jg 8048c4e ;调回继续计算func4(ebx-2)
8048c67: 8d 46 01 lea 0x1(%esi),%eax
8048c6a: 8d 65 f8 lea -0x8(%ebp),%esp
8048c6d: 5b pop %ebx
8048c6e: 5e pop %esi
8048c6f: c9 leave
8048c70: c3 ret
func4(i) = func4(i-1)+func4(i-2)。
答案就是使得func4(i) = 144的i。
phase_5:
这一关需要输入长度为6的字符串。
08048cb4 :
8048cb4: 55 push %ebp
8048cb5: 89 e5 mov %esp,%ebp
8048cb7: 53 push %ebx
8048cb8: 83 ec 20 sub $0x20,%esp
8048cbb: 8b 5d 08 mov 0x8(%ebp),%ebx ;$ebx中存放输入的字符串首地址
8048cbe: 53 push %ebx ;参数压栈,字符串地址
8048cbf: e8 4b 02 00 00 call 8048f0f ;计算字符串长度
8048cc4: 83 c4 10 add $0x10,%esp
8048cc7: 83 f8 06 cmp $0x6,%eax ;比较是否长度为6,不为6则explode_bomb
8048cca: 74 05 je 8048cd1
8048ccc: e8 1b 07 00 00 call 80493ec
8048cd1: ba 01 00 00 00 mov $0x1,%edx ;下面一段是循环,0x8048cd9 到 0x8048cef ;$edx是计数器从1到6,循环体执行6次
8048cd6: 8d 4d f5 lea -0xb(%ebp),%ecx
8048cd9: 0f be 44 13 ff movsbl -0x1(%ebx,%edx,1),%eax ;$eax赋值为 内存$ebx+$edx-1 中的内容 即输入的字符串某字节开始的4个字节(作为一个整型)
8048cde: 83 e0 0f and $0xf,%eax ;$eax只保留低4位,所以此时$eax是对应的输入字符串中某字符的低4位。
8048ce1: 8a 80 c0 a5 04 08 mov 0x804a5c0(%eax),%al ;把$al设置为0x804a5c0+$eax地址的那个字节,由此可见0x804a5c0地址是一个字符串的首地址,此时$eax取值范围;为0-15,因此0x804a5c0处应该存在一个长度为16的字符串,经过objdump查看可以发现正是如此。;这一语句实际上是以输入的字符串中每个字符的低4位为索引,找到0x804a5c0中对应的字符,将其存入al
8048ce7: 88 44 0a ff mov %al,-0x1(%edx,%ecx,1) ;此时把al存入最终栈空间 $ecx+$edx-1中,其中$ecx = $esp-0xb
8048ceb: 42 inc %edx ;计数的同时可以让输入字符串后移一个字节。
8048cec: 83 fa 07 cmp $0x7,%edx
8048cef: 75 e8 jne 8048cd9
8048cf1: c6 45 fb 00 movb $0x0,-0x5(%ebp) ;将6个字符存入$ecx为首的地址后,需要将第7个字符设置为NULL作为结束符。;可以分析得到$ecx到$ebp-5之间正好是7个字节(6个字符+1个结束符)
8048cf5: 83 ec 08 sub $0x8,%esp
8048cf8: 68 c2 96 04 08 push $0x80496c2 ;参数2,比较字符串。
8048cfd: 51 push %ecx ;参数1 ,根据我们输入字符串为索引得到的字符串
8048cfe: e8 2c 02 00 00 call 8048f2f ;比较是否相同,相同则通关。
8048d03: 83 c4 10 add $0x10,%esp
8048d06: 85 c0 test %eax,%eax
8048d08: 74 05 je 8048d0f
8048d0a: e8 dd 06 00 00 call 80493ec
8048d0f: 8b 5d fc mov -0x4(%ebp),%ebx
8048d12: c9 leave
8048d13: c3 ret
若输入字符串为char A[6];
则最终用于比较的字符串char C[6]满足:C[i] = B[ A[i]&0xF ];
若C = "abcdef" , B="qberasdfzxcvbgty"
我们需要的索引则为 4,1,10,6,2,7。要求我们输入的6个字符低四位分别为 4,1,10,6,2,7.
我们可以查ascii表,看看哪些可以输入的字符其低四位满足以上要求即可。
phase_6:
文档中说第六关很有挑战,但是我发现这一关很简单,加上整个程序有没有使用过的fun7函数和几个其它函数,我怀疑这个程序是否不完整。
这一关要求输入一个数字,会用strtol转换成long int,放入ebx寄存器。
然后调用了fun6函数,这个函数并没有用到我们的输入,而且其内容很复杂,有很多跳转。但这跟我们通关没什么关系。
直接看最后的比较,比较$ebx和($eax)的值,那我们就可以直接查看($eax)中的数值,这个就是我们要输入的答案了。
所以我怀疑最后一关原来是否是这个代码。
08048d72 :
8048d72: 55 push %ebp
8048d73: 89 e5 mov %esp,%ebp
8048d75: 53 push %ebx
8048d76: 83 ec 04 sub $0x4,%esp
8048d79: 6a 00 push $0x0
8048d7b: 6a 0a push $0xa
8048d7d: 6a 00 push $0x0
8048d7f: ff 75 08 pushl 0x8(%ebp)
8048d82: e8 81 fa ff ff call 8048808 <__strtol_internal@plt> ;strtol函数是把字符串转换成long int。前面的参数压栈就不详述了。
8048d87: 89 c3 mov %eax,%ebx ;$ebx存放我们输入的字符串转换成long int后的值。
8048d89: 68 30 a6 04 08 push $0x804a630 ;fun6参数压栈
8048d8e: e8 81 ff ff ff call 8048d14 ;fun6只有一个参数,跟我们输入的字符串没有任何关系。
8048d93: ba 08 00 00 00 mov $0x8,%edx
8048d98: 83 c4 14 add $0x14,%esp
8048d9b: 8b 40 08 mov 0x8(%eax),%eax
8048d9e: 4a dec %edx
8048d9f: 75 fa jne 8048d9b
8048da1: 3b 18 cmp (%eax),%ebx ;比较$ebx和($eax)的值,如果相同,就通关了!!!
8048da3: 74 05 je 8048daa
8048da5: e8 42 06 00 00 call 80493ec
8048daa: 8b 5d fc mov -0x4(%ebp),%ebx
8048dad: c9 leave
8048dae: c3 ret