CSAPP bomblab 作弊方式通关: gdb set 命令的使用

bomblab 的博客、视频挺多的,但是步骤都太“友善”了。既然每次都是 explode_bomb 函数爆炸的,那么不执行这个函数不就完事儿了吗?这的确是“作弊”,但是我的目的不在于得到每一个 phase 的正确答案, 而是希望每个 phase 随便输入,但是仍然能通关。

一种方式是修改二进制文件 bomb, 我暂时不会。

另一种方式,是在 gdb 运行期间, 使用 set 命令修改 call explode_bomb 汇编指令为 nop 指令,那么程序就能继续往下运行, 而不是由于 explode_bomb() 中的 call exit 导致结束。本篇讲使用set的具体做法。

文章目录

    • 1. 最小例子
    • 2. 在 bomb 可执行文件上实验的记录
      • 2.1 把 call explode_bomb 改为 nop
      • 2.2 自动化上述打印断点+set修改call explode_bomb()为nop的过程
    • 3. 总结

1. 最小例子

直接修改 call explode_bomb() 的过程,过于庞大。先弄懂这个简化的例子,其他都能搞定:

test2.c:

#include 
#include 

static void die()
{
    printf("You lose\n");
    exit(1);
}

static void congrat()
{
    printf("You win!\n");
    return;
}

int main()
{
    die();
    congrat();
    return 0;
}

正常执行 test.c, 会看到 “You lose”。我们希望在gdb里做手脚,使得gdb里能够看到 “You Win!” 的输出。

关键命令:

set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}

完整命令

(gdb) start
Temporary breakpoint 1 at 0x11ac
Starting program: /home/zz/work/zcnn/csapp/bomblab/a.out
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".

Temporary breakpoint 1, 0x00005555555551ac in main ()
(gdb) disassemble
Dump of assembler code for function main:
   0x00005555555551a4 <+0>:     endbr64
   0x00005555555551a8 <+4>:     push   rbp
   0x00005555555551a9 <+5>:     mov    rbp,rsp
=> 0x00005555555551ac <+8>:     mov    eax,0x0
   0x00005555555551b1 <+13>:    call   0x555555555169 <die>
   0x00005555555551b6 <+18>:    mov    eax,0x0
   0x00005555555551bb <+23>:    call   0x55555555518a <congrat>
   0x00005555555551c0 <+28>:    mov    eax,0x0
   0x00005555555551c5 <+33>:    pop    rbp
   0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) ni
0x00005555555551b1 in main ()
(gdb) disassemble
Dump of assembler code for function main:
   0x00005555555551a4 <+0>:     endbr64
   0x00005555555551a8 <+4>:     push   rbp
   0x00005555555551a9 <+5>:     mov    rbp,rsp
   0x00005555555551ac <+8>:     mov    eax,0x0
=> 0x00005555555551b1 <+13>:    call   0x555555555169 <die>
   0x00005555555551b6 <+18>:    mov    eax,0x0
   0x00005555555551bb <+23>:    call   0x55555555518a <congrat>
   0x00005555555551c0 <+28>:    mov    eax,0x0
   0x00005555555551c5 <+33>:    pop    rbp
   0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}
(gdb) disassemble
Dump of assembler code for function main:
   0x00005555555551a4 <+0>:     endbr64
   0x00005555555551a8 <+4>:     push   rbp
   0x00005555555551a9 <+5>:     mov    rbp,rsp
   0x00005555555551ac <+8>:     mov    eax,0x0
=> 0x00005555555551b1 <+13>:    nop
   0x00005555555551b2 <+14>:    nop
   0x00005555555551b3 <+15>:    nop
   0x00005555555551b4 <+16>:    nop
   0x00005555555551b5 <+17>:    nop
   0x00005555555551b6 <+18>:    mov    eax,0x0
   0x00005555555551bb <+23>:    call   0x55555555518a <congrat>
   0x00005555555551c0 <+28>:    mov    eax,0x0
   0x00005555555551c5 <+33>:    pop    rbp
   0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) c
Continuing.
You win!
[Inferior 1 (process 91783) exited normally]

2. 在 bomb 可执行文件上实验的记录

2.1 把 call explode_bomb 改为 nop

我们在 bomblab phase_1 上做实验。预期的效果是,随便输入一个字符串,例如 “hello”, 都能看到第一关通关后的提示:

Phase 1 defused. How about the next one?

具体做法:先通过反汇编找到 call explode_bomb 指令的地址,设定断点;然后运行程序, 在到达断点之前或刚刚到断点的地方时, 用 set 指令修改断点处的5个byte的内存,全都改为nop。

设置断点

(gdb) disassemble phase_1
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>:     sub    rsp,0x8
   0x0000000000400ee4 <+4>:     mov    esi,0x402400
   0x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:    test   eax,eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
   0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) b *0x400ef2
Breakpoint 1 at 0x400ef2

运行程序

(gdb) r
hello  # 这是phase_1()中执行read_line()时,输入的字符串

别小看这一步,不执行的话,直接执行后续的 set 命令会被提示修改无效

用set命令修改内存

(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}

在执行这一命令后,原本的 call 0x40143a 被替换为 nop。也就是,原来是:

=> 0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret

现在再执行 disassemble, 看到的是:

=> 0x0000000000400ef2 <+18>:    nop
   0x0000000000400ef3 <+19>:    nop
   0x0000000000400ef4 <+20>:    nop
   0x0000000000400ef5 <+21>:    nop
   0x0000000000400ef6 <+22>:    nop
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret

继续执行

(gdb) c
Continuing.
Phase 1 defused. How about the next one?

没错,看到了预期的输出,意思是“祝贺你通过了第一关”。

为什么是5个nop

因为 x86 架构中, call 指令的长度是确定的,是5个字节:1 个字节的操作码,后面跟着 4 个字节的偏移量。

例如,一个 call 指令可能看起来像这样(在机器码中):

E8 xx xx xx xx

其中 E8 是 call 指令的操作码,后面的 xx xx xx xx 是目标地址与下一条指令地址之间的偏移量。

也可以在 gdb 中检查:

(gdb) x /5xb 0x0000000000400ef2
0x400ef2 <phase_1+18>:  0xe8    0x43    0x05    0x00    0x00

其中 /5xb 的解释:

在 GDB 的 x 命令中,/5xb 是一个参数字符串,它指定了如何显示内存内容。下面是它的分解和解释:

x:这是 GDB 中的 "examine" 命令的简写,用于检查内存中的内容。

/:这是一个分隔符,用于分隔命令和其参数。

5:这个数字指定了要检查的单位数量。在这个例子中,它告诉 GDB 显示 5 个单位。

x:这是一个格式说明符,它告诉 GDB 以十六进制格式显示内存内容。在 GDB 中,x 用于十六进制,d 用于十进制,u 用于无符号十进制,t 用于二进制,o 用于八进制,a 用于地址,c 用于字符,f 用于浮点数,等等。

b:这是一个单位大小说明符,它告诉 GDB 每个单位应该是多大。在这个例子中,b 表示字节(byte)。其他选项包括 h(半字,halfword,通常是 2 字节),w(字,word,通常是 4 字节),g(巨字,giant word,通常是 8 字节)。

综合起来,x /5xb 命令告诉 GDB 以十六进制格式显示从指定地址开始的 5 个字节。这是在调试程序时检查内存内容的常用方法。

完整的gdb命令执行记录

(gdb) file bomb
Reading symbols from bomb...
(gdb) disassemble phase_1
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>:     sub    rsp,0x8
   0x0000000000400ee4 <+4>:     mov    esi,0x402400
   0x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:    test   eax,eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
   0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) b *0x0000000000400ef2
Breakpoint 1 at 0x400ef2
(gdb) c
The program is not being run.
(gdb) r
Starting program: /home/zz/work/zcnn/csapp/bomblab/bomb
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
hello

Breakpoint 1, 0x0000000000400ef2 in phase_1 ()
(gdb) disassemble
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>:     sub    rsp,0x8
   0x0000000000400ee4 <+4>:     mov    esi,0x402400
   0x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:    test   eax,eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
(gdb) disassemble
Dump of assembler code for function phase_1:
   0x0000000000400ee0 <+0>:     sub    rsp,0x8
   0x0000000000400ee4 <+4>:     mov    esi,0x402400
   0x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>
   0x0000000000400eee <+14>:    test   eax,eax
   0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>:    nop
   0x0000000000400ef3 <+19>:    nop
   0x0000000000400ef4 <+20>:    nop
   0x0000000000400ef5 <+21>:    nop
   0x0000000000400ef6 <+22>:    nop
   0x0000000000400ef7 <+23>:    add    rsp,0x8
   0x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) c
Continuing.
Phase 1 defused. How about the next one?

2.2 自动化上述打印断点+set修改call explode_bomb()为nop的过程

基本思路: 生成一个脚本 gdb_script.txt, gdb 启动时指定要执行这个脚本,gdb启动后先执行脚本中的内容,然后再按正常的程序一样去执行(此时用户可以交互式的输入、看到输出)。

关于 gdb_script.txt 的内容,是用 Python 脚本生成, 是在可执行程序 bomb 的反汇编代码中,找到所有的 call explode_bomb 语句,把这些语句所在的内存地址拿出来, 并对每个地址生成一句 set 指令来修改为5个 nop。此外,需要增加 start 指令, 使得 set 命令能够生效。

使用的 Python 脚本如下:

#!/usr/bin/env python3
import subprocess

# 替换为你的程序名和explode_bomb的确切名称
PROGRAM = "bomb"
EXPLODE_BOMB_FUNCTION = "explode_bomb"

# 使用 objdump 获取反汇编代码,并查找所有调用 explode_bomb 的行
cmd = f"objdump -d {PROGRAM} | grep 'call.*<{EXPLODE_BOMB_FUNCTION}>'"
result = subprocess.check_output(cmd, shell=True).decode('utf-8')

# 处理结果,移除地址后面的冒号,并添加 0x 前缀
gdb_commands = ["start"]  # Start the program and stop at the beginning of main
for line in result.strip().split('\n'):
    address = line.split()[0].rstrip(':')
    # Replace call instruction with 5 nops (assuming call instruction is 5 bytes)
    gdb_commands.append(f"set {{char[5]}}0x{address} = {{0x90, 0x90, 0x90, 0x90, 0x90}}")

# 将 GDB 命令写入 gdb_script.txt 文件
gdb_script = 'gdb_script.txt'
with open(gdb_script, 'w') as f:
    f.write('\n'.join(gdb_commands) + '\n')
    f.write('continue\n')  # Continue execution after setting breakpoints

print(f"GDB命令文件已生成:{gdb_script}")
print(f"在GDB中使用命令 'source {gdb_script}' 来设置断点并运行程序。")

生成的 gdb_script.txt:

start
set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f10 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f20 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f65 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fad = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fc4 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401035 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401058 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401084 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4010c6 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401123 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401140 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4011e9 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401267 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x40127d = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401494 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401595 = {0x90, 0x90, 0x90, 0x90, 0x90}
continue

启动 gdb 程序的命令如下:

gdb -x gdb_script.txt ./bomb

程序执行结果: 前5关能顺序执行,第6关报告segment fault:

Temporary breakpoint 1, main (argc=1, argv=0x7fffffffd988) at bomb.c:37
37      {
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2.  Keep going!
3
Halfway there!
4
So you got that one.  Try this one.
5
Good work!  On to the next...
6

Program received signal SIGSEGV, Segmentation fault.
0x00000000004011c0 in phase_6 ()

其中每一关的输入,我只输入了一个数字。第6关失败是因为需要输入6个数字,我改为输入6个数字后就成功的“作弊”通关了:

Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2.  Keep going!
3
Halfway there!
4
So you got that one.  Try this one.
5
Good work!  On to the next...
1 2 3 4 5 6
Congratulations! You've defused the bomb!
[Inferior 1 (process 84917) exited normally]

3. 总结

  1. 在调用某个函数的地方,设置断点

需要先根据汇编代码,找到 call explode_bomb 汇编指令对应的内存地址,例如地址是 0x400b10, 那么输入 break *0x400b10 来打断点。

而如果执行 break explode_bomb, 则是进入到了 explode_bomb 函数里的第一句,此时已经晚了,不能用 set 修改 call explode_bomb 为 nop 了

  1. 自动化执行 gdb 命令

gdb 可以被交互方式使用, 也可以把需要执行的命令, 提前准备好到一个文本中, 启动 gdb 时传入 -x xxx.txt 来启动:

gdb -x gdb_script.txt ./bomb
  1. gdb_script.txt 内容

set 命令是改内存, 需要先让程序启动, 最佳方式是先执行 start 命令, 会让程序加载进来,在main入口暂停

使用 Python 并结合 shell 命令, 相比于一水儿的 shell 命令, 代码虽然多了,但是更容易写出来。

  1. set 命令举例:把 call xxx 改为5个 nop:

set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}

  1. 上述修改,是在 gdb 运行前、gdb 运行中修改的, 并不会修改可执行程序本身。

你可能感兴趣的:(汇编,gdb,c语言)