汇编-拆炸弹

实验描述

二进制炸弹实际是由C语言源程序生成的可执行目标代码，主程序可参考bomb.c。运行时，会按次序提示用户输入3个不同的字符串。如果输入的字符串有误，炸弹就会“爆炸”，输出一条错误信息。必须通过对可执行程序反汇编和逆向工程判断应该是哪3个数据串，从而拆除“炸弹”。

说明

根据实验规则我应该做bomb8 ，run -t 3 -x 124
然后先是浏览bomb.c文件，该文件主要内容为main函数，主函数的参数列表是int argc, char *argv[]，argc 是参数的个数，char *argv[] 是参数的具体内容，argv[0],是程序本身，所以argc的至少是1.
而run -t 3 -x 124就是向程序中转递参数，在bomb.c文件中有对应的转换函数，-t 3 就是总共需要拆3个炸弹，-x 124 就是需要拆的炸弹的编号
然后在Ubuntu中对可执行程序使用GDB Debug.
根据反汇编，设置断点等方法得到结果

实验过程

第一个炸弹phase_1的反汇编内容：

分析：根据可大致知道第一个炸弹是判断字符串相等，结合题意可以知道是将输入的字符串和内存中的一个字符串比较，调用该函数时，push了两个值入栈，根据汇编子程序设计，这两个值应该都是该函数的参数，而进行的字符串匹配，所以这两个值应该是两个将要进行比较的字符串的首地址之类

x / 40cb 0x8049d6c
得到的字符如上图，连起来就是 :
The future will be better tomorrow.
这是完整的一个句子，将这个句子输入到炸弹一，然后就通过了

第二个炸弹phase_2的反汇编内容：

分析：通过可以得知这个炸弹是需要输入六个数字，具体是什么数字还需要往下看
<+21> cmp DWORD PTR [esp + 0x8]，0x1
如果[esp + 0x8] 中的值不是 0x1的话就会调用函数退出程序，所以[esp + 0x8]的值一定是 0x1 也就是1 ，进而进入46 ~80的循环部分，整个循环下来可以得知:
[esp + 0x8] = 1
[esp + 0xc] = 2
[esp + 0x10] = 6
[esp + 0x14] = 24
[esp + 0x18] = 120
[esp + 0x1c] = 720
这样第二个炸弹需要输入的内容就明了了
第三个炸弹phase_4的反汇编内容：

函数的反汇编内容为：

分析：
比较醒目的是__isoc99_sscanf@plt这个函数
该函数仅凭scanf这个词就可以猜测是输入信息的，然后往后看，<+25>
如果eax的值不是1就会直接引爆炸弹，如果是1就会调用这个函数，而这个函数是一个递归函数，函数的出口是 ebx <= 1,在递归函数调用结束后，又有一个比较 eax 和 0x9d80 之间的比较，如果eax 不等于0x9d80 就会引爆炸弹。
再看func4这个函数，调用函数时只用了一个push,所以只有一个参数，这个递归函数的出口是ebx<=1,该函数的功能是:
大致可以用以下c语言来描述

Int Func4(int x)
{
   If (x == 1) return 1;
   Return x * func4( x - 1);
}

实现了求输入的参数的阶乘。
而phase_4中的eax 必须等于1，这个应该是参数的个数必须是1，否则报错，且输入的参数计算出来的值是0x9d80,对应8的阶乘，输入8果真拆除了炸弹。为了验证这里设置了断点检验，由于不知道前面的eax具体的作用，在第三个炸弹输入的时候输入了两个值，8和15运行结果如下：

断点设置在__isoc99_sscanf@plt后面


根据结果也是能分析出，前面的eax 必须等于1 并不是参数必须只能是一个的意思，为此我还特别再多测试了几个


测试结果如上，只要第一个参数是正确的参数列表的长度好像并没有要求