简介
Bomb Lab是深入理解计算机系统(CS:APP)的实验作业之一,它提供了一个“二进制炸弹”目标文件。这个程序运行时会提示用户键入6个不同的字符串。如果其中任何一个不正确,炸弹就会“爆炸”,打印错误消息并将向评分服务器上发送请求。学生必须通过反汇编和逆向工程程序来“拆除”自己独特的炸弹,以确定6个字符串应该是什么。
真实实验时答案是不一样的,官方网站提供了一个禁用了评分服务器的公开版本Linux / x86-64二进制炸弹程序,本文基于该Bomb文件进行破解。
章节
全部破解过程将分几篇文章:
- 简介与准备
- [pharse1-3]
- [pharse4-5]
- [pharse6]
破解前准备
文件结构
程序下下来是一个tar包,里面包括bomb目标文件、一个简单描述流程的bomb.c代码、一个Readme文档。
工具准备
官方文档里推荐了如下工具:
- gdb : GNU Debugger,用于调试代码,设置断点,查看各寄存器数值
- objdump -t : 打印bomb的符号表,符号表中包括所有函数和全局变量的名字
- objdump -d : 对代码进行反编译,但需要注意系统函数的调用中
sscanf
这种函数会被显示为<_init+0x1a0>
- strings : 显示所有bomb中的可打印字符
同时,除了日常查看代码中使用到的文本编辑器VS Code之外,还有一个大杀器——IDA Pro,这个专门用于逆向工程的工具,直接可以生成程序运行框图。
总体程序结构
结构分析
在Bomb.c中可以看到,程序最开始处理了输入参数输入文件名的情况,此后用initialize_bomb()
函数做了一些操作,接下来就是读入每行输入phase_n(input)
判断是否符合需要的输入,完成后则通过phase_defused()
函数解除该问题的“引信”,总共进行6次该流程。
总体框图如下:
通过反编译的源代码,我们可以看到每个phase_n(input)
的函数,里面结构基本都是对输入做各种操作并判断比较的流程。以最简单的phase_1
为例:
0000000000400ee0 :
400ee0: 48 83 ec 08 sub $0x8,%rsp
400ee4: be 00 24 40 00 mov $0x402400,%esi
400ee9: e8 4a 04 00 00 callq 401338
400eee: 85 c0 test %eax,%eax
400ef0: 74 05 je 400ef7
400ef2: e8 43 05 00 00 callq 40143a
400ef7: 48 83 c4 08 add $0x8,%rsp
400efb: c3 retq
explode_bomb
函数分析
分析可以发现,每个阶段炸弹爆炸的关键流程都在explode_bomb
里,下载版本explode_bomb
很简单:
000000000040143a :
40143a: 48 83 ec 08 sub $0x8,%rsp
40143e: bf a3 25 40 00 mov $0x4025a3,%edi
401443: e8 c8 f6 ff ff callq 400b10
401448: bf ac 25 40 00 mov $0x4025ac,%edi
40144d: e8 be f6 ff ff callq 400b10
401452: bf 08 00 00 00 mov $0x8,%edi
401457: e8 c4 f7 ff ff callq 400c20
除了打印两行字就没了,不过根据程序里遗留的driver_post
函数里的submitr
函数等,里面有各种给changeme.ics.cs.cmu.edu
发送GET请求的函数,应该是向服务器发送相关操作的代码。
initialize_bomb
在弄啥呢
程序开始有一个initialize_bomb()
函数,Mr.Evil还贱贱地说:“/* Do all sorts of secret stuff that makes the bomb harder to defuse. */”
通过IDA可以看到里面是如下结构:
里面
4013b0: e8 db f7 ff ff callq 400b90
调用了signal的系统函数,注册了一个handler,转换为C语言应该是如下代码:
initialize_bomb() {
signal(2, sig_handler)
}
signal系统函数定义中,2对应SIGINT,(Signal Interrupt) 中断信号,如 ctrl-C。该函数主要用于用户ctrl-C退出时,执行sig_handler
函数
函数用sleep让退出速度变慢。
破解前处理
上面分析了explode_bomb
和initialize_bomb
的流程,在破解之前需要对这些函数做些处理。为了屏蔽掉相关函数,需要把explode_bomb
和initialize_bomb
的关键调用去掉,先把这个炸弹变得“哑火”。
这里用到的是书中提到的"空操作雪橇(nop sled)",在对应位置把callq
替换为nop
指令,直接跳过callq
相关参数的操作。
具体的修改方法可以是用vim
打开可执行文件,键入:%!xxd
切换到十六进制查看编辑模式,修改相应的字节后输入:%!xxd -r
转换为正常显示模式后保存即可。
00000000004013a2 :
4013a2: 48 83 ec 08 sub $0x8,%rsp
4013a6: be a0 12 40 00 mov $0x4012a0,%esi
4013ab: bf 02 00 00 00 mov $0x2,%edi
4013b0: 90 nop
4013b1: 90 nop
4013b2: 90 nop
4013b3: 90 nop
4013b4: 90 nop
4013b5: 48 83 c4 08 add $0x8,%rsp
4013b9: c3 retq
不删除相关语句,主要是基于jmp
跳转会跟一个相对位置,直接删除很可能就跳飞了。
解除了这几个函数之后,接下来就要进入正式破解阶段了
To be continue...
查看更多文章请访问我的博客——左旋异构
本文地址:深入理解计算机系统(CS:APP) Bomb Lab 破解 - 1