[深入理解计算机系统(CS:APP)] Bomb Lab 破解 - 1

简介

Bomb Lab是深入理解计算机系统(CS:APP)的实验作业之一,它提供了一个“二进制炸弹”目标文件。这个程序运行时会提示用户键入6个不同的字符串。如果其中任何一个不正确,炸弹就会“爆炸”,打印错误消息并将向评分服务器上发送请求。学生必须通过反汇编和逆向工程程序来“拆除”自己独特的炸弹,以确定6个字符串应该是什么。

真实实验时答案是不一样的,官方网站提供了一个禁用了评分服务器的公开版本Linux / x86-64二进制炸弹程序,本文基于该Bomb文件进行破解。

章节

全部破解过程将分几篇文章:

  • 简介与准备
  • [pharse1-3]
  • [pharse4-5]
  • [pharse6]

破解前准备

文件结构

程序下下来是一个tar包,里面包括bomb目标文件、一个简单描述流程的bomb.c代码、一个Readme文档。

工具准备

官方文档里推荐了如下工具:

  • gdb : GNU Debugger,用于调试代码,设置断点,查看各寄存器数值
  • objdump -t : 打印bomb的符号表,符号表中包括所有函数和全局变量的名字
  • objdump -d : 对代码进行反编译,但需要注意系统函数的调用中sscanf这种函数会被显示为<_init+0x1a0>
  • strings : 显示所有bomb中的可打印字符

同时,除了日常查看代码中使用到的文本编辑器VS Code之外,还有一个大杀器——IDA Pro,这个专门用于逆向工程的工具,直接可以生成程序运行框图。

总体程序结构

结构分析

在Bomb.c中可以看到,程序最开始处理了输入参数输入文件名的情况,此后用initialize_bomb()函数做了一些操作,接下来就是读入每行输入phase_n(input)判断是否符合需要的输入,完成后则通过phase_defused()函数解除该问题的“引信”,总共进行6次该流程。

总体框图如下:


总体框图
数据段

通过反编译的源代码,我们可以看到每个phase_n(input)的函数,里面结构基本都是对输入做各种操作并判断比较的流程。以最简单的phase_1为例:

0000000000400ee0 :
  400ee0:   48 83 ec 08             sub    $0x8,%rsp
  400ee4:   be 00 24 40 00          mov    $0x402400,%esi
  400ee9:   e8 4a 04 00 00          callq  401338 
  400eee:   85 c0                   test   %eax,%eax
  400ef0:   74 05                   je     400ef7 
  400ef2:   e8 43 05 00 00          callq  40143a 
  400ef7:   48 83 c4 08             add    $0x8,%rsp
  400efb:   c3                      retq   
phase1框图

explode_bomb函数分析

分析可以发现,每个阶段炸弹爆炸的关键流程都在explode_bomb里,下载版本explode_bomb很简单:

000000000040143a :
  40143a:   48 83 ec 08             sub    $0x8,%rsp
  40143e:   bf a3 25 40 00          mov    $0x4025a3,%edi
  401443:   e8 c8 f6 ff ff          callq  400b10 
  401448:   bf ac 25 40 00          mov    $0x4025ac,%edi
  40144d:   e8 be f6 ff ff          callq  400b10 
  401452:   bf 08 00 00 00          mov    $0x8,%edi
  401457:   e8 c4 f7 ff ff          callq  400c20 
explode

除了打印两行字就没了,不过根据程序里遗留的driver_post函数里的submitr函数等,里面有各种给changeme.ics.cs.cmu.edu发送GET请求的函数,应该是向服务器发送相关操作的代码。

initialize_bomb在弄啥呢

程序开始有一个initialize_bomb()函数,Mr.Evil还贱贱地说:“/* Do all sorts of secret stuff that makes the bomb harder to defuse. */”

通过IDA可以看到里面是如下结构:


init

里面

  4013b0:   e8 db f7 ff ff          callq  400b90 

调用了signal的系统函数,注册了一个handler,转换为C语言应该是如下代码:

initialize_bomb() {
  signal(2, sig_handler)
}

signal系统函数定义中,2对应SIGINT,(Signal Interrupt) 中断信号,如 ctrl-C。该函数主要用于用户ctrl-C退出时,执行sig_handler函数

sig

函数用sleep让退出速度变慢。

破解前处理

上面分析了explode_bombinitialize_bomb的流程,在破解之前需要对这些函数做些处理。为了屏蔽掉相关函数,需要把explode_bombinitialize_bomb的关键调用去掉,先把这个炸弹变得“哑火”。

这里用到的是书中提到的"空操作雪橇(nop sled)",在对应位置把callq替换为nop指令,直接跳过callq相关参数的操作。

具体的修改方法可以是用vim打开可执行文件,键入:%!xxd切换到十六进制查看编辑模式,修改相应的字节后输入:%!xxd -r转换为正常显示模式后保存即可。

00000000004013a2 :
  4013a2:   48 83 ec 08             sub    $0x8,%rsp
  4013a6:   be a0 12 40 00          mov    $0x4012a0,%esi
  4013ab:   bf 02 00 00 00          mov    $0x2,%edi
  4013b0:   90                      nop
  4013b1:   90                      nop
  4013b2:   90                      nop
  4013b3:   90                      nop
  4013b4:   90                      nop
  4013b5:   48 83 c4 08             add    $0x8,%rsp
  4013b9:   c3                      retq   

不删除相关语句,主要是基于jmp跳转会跟一个相对位置,直接删除很可能就跳飞了。

解除了这几个函数之后,接下来就要进入正式破解阶段了

To be continue...

查看更多文章请访问我的博客——左旋异构
本文地址:深入理解计算机系统(CS:APP) Bomb Lab 破解 - 1

你可能感兴趣的:([深入理解计算机系统(CS:APP)] Bomb Lab 破解 - 1)