bomblab 的博客、视频挺多的,但是步骤都太“友善”了。既然每次都是 explode_bomb
函数爆炸的,那么不执行这个函数不就完事儿了吗?这的确是“作弊”,但是我的目的不在于得到每一个 phase 的正确答案, 而是希望每个 phase 随便输入,但是仍然能通关。
一种方式是修改二进制文件 bomb
, 我暂时不会。
另一种方式,是在 gdb 运行期间, 使用 set
命令修改 call explode_bomb
汇编指令为 nop
指令,那么程序就能继续往下运行, 而不是由于 explode_bomb()
中的 call exit
导致结束。本篇讲使用set
的具体做法。
直接修改 call explode_bomb() 的过程,过于庞大。先弄懂这个简化的例子,其他都能搞定:
test2.c:
#include
#include
static void die()
{
printf("You lose\n");
exit(1);
}
static void congrat()
{
printf("You win!\n");
return;
}
int main()
{
die();
congrat();
return 0;
}
正常执行 test.c, 会看到 “You lose”。我们希望在gdb里做手脚,使得gdb里能够看到 “You Win!” 的输出。
关键命令:
set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}
完整命令
(gdb) start
Temporary breakpoint 1 at 0x11ac
Starting program: /home/zz/work/zcnn/csapp/bomblab/a.out
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
Temporary breakpoint 1, 0x00005555555551ac in main ()
(gdb) disassemble
Dump of assembler code for function main:
0x00005555555551a4 <+0>: endbr64
0x00005555555551a8 <+4>: push rbp
0x00005555555551a9 <+5>: mov rbp,rsp
=> 0x00005555555551ac <+8>: mov eax,0x0
0x00005555555551b1 <+13>: call 0x555555555169 <die>
0x00005555555551b6 <+18>: mov eax,0x0
0x00005555555551bb <+23>: call 0x55555555518a <congrat>
0x00005555555551c0 <+28>: mov eax,0x0
0x00005555555551c5 <+33>: pop rbp
0x00005555555551c6 <+34>: ret
End of assembler dump.
(gdb) ni
0x00005555555551b1 in main ()
(gdb) disassemble
Dump of assembler code for function main:
0x00005555555551a4 <+0>: endbr64
0x00005555555551a8 <+4>: push rbp
0x00005555555551a9 <+5>: mov rbp,rsp
0x00005555555551ac <+8>: mov eax,0x0
=> 0x00005555555551b1 <+13>: call 0x555555555169 <die>
0x00005555555551b6 <+18>: mov eax,0x0
0x00005555555551bb <+23>: call 0x55555555518a <congrat>
0x00005555555551c0 <+28>: mov eax,0x0
0x00005555555551c5 <+33>: pop rbp
0x00005555555551c6 <+34>: ret
End of assembler dump.
(gdb) set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}
(gdb) disassemble
Dump of assembler code for function main:
0x00005555555551a4 <+0>: endbr64
0x00005555555551a8 <+4>: push rbp
0x00005555555551a9 <+5>: mov rbp,rsp
0x00005555555551ac <+8>: mov eax,0x0
=> 0x00005555555551b1 <+13>: nop
0x00005555555551b2 <+14>: nop
0x00005555555551b3 <+15>: nop
0x00005555555551b4 <+16>: nop
0x00005555555551b5 <+17>: nop
0x00005555555551b6 <+18>: mov eax,0x0
0x00005555555551bb <+23>: call 0x55555555518a <congrat>
0x00005555555551c0 <+28>: mov eax,0x0
0x00005555555551c5 <+33>: pop rbp
0x00005555555551c6 <+34>: ret
End of assembler dump.
(gdb) c
Continuing.
You win!
[Inferior 1 (process 91783) exited normally]
我们在 bomblab phase_1 上做实验。预期的效果是,随便输入一个字符串,例如 “hello”, 都能看到第一关通关后的提示:
Phase 1 defused. How about the next one?
具体做法:先通过反汇编找到 call explode_bomb 指令的地址,设定断点;然后运行程序, 在到达断点之前或刚刚到断点的地方时, 用 set 指令修改断点处的5个byte的内存,全都改为nop。
设置断点
(gdb) disassemble phase_1
Dump of assembler code for function phase_1:
0x0000000000400ee0 <+0>: sub rsp,0x8
0x0000000000400ee4 <+4>: mov esi,0x402400
0x0000000000400ee9 <+9>: call 0x401338 <strings_not_equal>
0x0000000000400eee <+14>: test eax,eax
0x0000000000400ef0 <+16>: je 0x400ef7 <phase_1+23>
0x0000000000400ef2 <+18>: call 0x40143a <explode_bomb>
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
End of assembler dump.
(gdb) b *0x400ef2
Breakpoint 1 at 0x400ef2
运行程序
(gdb) r
hello # 这是phase_1()中执行read_line()时,输入的字符串
别小看这一步,不执行的话,直接执行后续的 set 命令会被提示修改无效
用set命令修改内存
(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
在执行这一命令后,原本的 call 0x40143a
=> 0x0000000000400ef2 <+18>: call 0x40143a <explode_bomb>
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
现在再执行 disassemble, 看到的是:
=> 0x0000000000400ef2 <+18>: nop
0x0000000000400ef3 <+19>: nop
0x0000000000400ef4 <+20>: nop
0x0000000000400ef5 <+21>: nop
0x0000000000400ef6 <+22>: nop
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
继续执行
(gdb) c
Continuing.
Phase 1 defused. How about the next one?
没错,看到了预期的输出,意思是“祝贺你通过了第一关”。
为什么是5个nop
因为 x86 架构中, call 指令的长度是确定的,是5个字节:1 个字节的操作码,后面跟着 4 个字节的偏移量。
例如,一个 call 指令可能看起来像这样(在机器码中):
E8 xx xx xx xx
其中 E8 是 call 指令的操作码,后面的 xx xx xx xx 是目标地址与下一条指令地址之间的偏移量。
也可以在 gdb 中检查:
(gdb) x /5xb 0x0000000000400ef2
0x400ef2 <phase_1+18>: 0xe8 0x43 0x05 0x00 0x00
其中 /5xb 的解释:
在 GDB 的 x 命令中,/5xb 是一个参数字符串,它指定了如何显示内存内容。下面是它的分解和解释:
x:这是 GDB 中的 "examine" 命令的简写,用于检查内存中的内容。
/:这是一个分隔符,用于分隔命令和其参数。
5:这个数字指定了要检查的单位数量。在这个例子中,它告诉 GDB 显示 5 个单位。
x:这是一个格式说明符,它告诉 GDB 以十六进制格式显示内存内容。在 GDB 中,x 用于十六进制,d 用于十进制,u 用于无符号十进制,t 用于二进制,o 用于八进制,a 用于地址,c 用于字符,f 用于浮点数,等等。
b:这是一个单位大小说明符,它告诉 GDB 每个单位应该是多大。在这个例子中,b 表示字节(byte)。其他选项包括 h(半字,halfword,通常是 2 字节),w(字,word,通常是 4 字节),g(巨字,giant word,通常是 8 字节)。
综合起来,x /5xb 命令告诉 GDB 以十六进制格式显示从指定地址开始的 5 个字节。这是在调试程序时检查内存内容的常用方法。
完整的gdb命令执行记录
(gdb) file bomb
Reading symbols from bomb...
(gdb) disassemble phase_1
Dump of assembler code for function phase_1:
0x0000000000400ee0 <+0>: sub rsp,0x8
0x0000000000400ee4 <+4>: mov esi,0x402400
0x0000000000400ee9 <+9>: call 0x401338 <strings_not_equal>
0x0000000000400eee <+14>: test eax,eax
0x0000000000400ef0 <+16>: je 0x400ef7 <phase_1+23>
0x0000000000400ef2 <+18>: call 0x40143a <explode_bomb>
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
End of assembler dump.
(gdb) b *0x0000000000400ef2
Breakpoint 1 at 0x400ef2
(gdb) c
The program is not being run.
(gdb) r
Starting program: /home/zz/work/zcnn/csapp/bomblab/bomb
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
hello
Breakpoint 1, 0x0000000000400ef2 in phase_1 ()
(gdb) disassemble
Dump of assembler code for function phase_1:
0x0000000000400ee0 <+0>: sub rsp,0x8
0x0000000000400ee4 <+4>: mov esi,0x402400
0x0000000000400ee9 <+9>: call 0x401338 <strings_not_equal>
0x0000000000400eee <+14>: test eax,eax
0x0000000000400ef0 <+16>: je 0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>: call 0x40143a <explode_bomb>
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
End of assembler dump.
(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
(gdb) disassemble
Dump of assembler code for function phase_1:
0x0000000000400ee0 <+0>: sub rsp,0x8
0x0000000000400ee4 <+4>: mov esi,0x402400
0x0000000000400ee9 <+9>: call 0x401338 <strings_not_equal>
0x0000000000400eee <+14>: test eax,eax
0x0000000000400ef0 <+16>: je 0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>: nop
0x0000000000400ef3 <+19>: nop
0x0000000000400ef4 <+20>: nop
0x0000000000400ef5 <+21>: nop
0x0000000000400ef6 <+22>: nop
0x0000000000400ef7 <+23>: add rsp,0x8
0x0000000000400efb <+27>: ret
End of assembler dump.
(gdb) c
Continuing.
Phase 1 defused. How about the next one?
基本思路: 生成一个脚本 gdb_script.txt, gdb 启动时指定要执行这个脚本,gdb启动后先执行脚本中的内容,然后再按正常的程序一样去执行(此时用户可以交互式的输入、看到输出)。
关于 gdb_script.txt 的内容,是用 Python 脚本生成, 是在可执行程序 bomb 的反汇编代码中,找到所有的 call explode_bomb
语句,把这些语句所在的内存地址拿出来, 并对每个地址生成一句 set 指令来修改为5个 nop。此外,需要增加 start
指令, 使得 set 命令能够生效。
使用的 Python 脚本如下:
#!/usr/bin/env python3
import subprocess
# 替换为你的程序名和explode_bomb的确切名称
PROGRAM = "bomb"
EXPLODE_BOMB_FUNCTION = "explode_bomb"
# 使用 objdump 获取反汇编代码,并查找所有调用 explode_bomb 的行
cmd = f"objdump -d {PROGRAM} | grep 'call.*<{EXPLODE_BOMB_FUNCTION}>'"
result = subprocess.check_output(cmd, shell=True).decode('utf-8')
# 处理结果,移除地址后面的冒号,并添加 0x 前缀
gdb_commands = ["start"] # Start the program and stop at the beginning of main
for line in result.strip().split('\n'):
address = line.split()[0].rstrip(':')
# Replace call instruction with 5 nops (assuming call instruction is 5 bytes)
gdb_commands.append(f"set {{char[5]}}0x{address} = {{0x90, 0x90, 0x90, 0x90, 0x90}}")
# 将 GDB 命令写入 gdb_script.txt 文件
gdb_script = 'gdb_script.txt'
with open(gdb_script, 'w') as f:
f.write('\n'.join(gdb_commands) + '\n')
f.write('continue\n') # Continue execution after setting breakpoints
print(f"GDB命令文件已生成:{gdb_script}")
print(f"在GDB中使用命令 'source {gdb_script}' 来设置断点并运行程序。")
生成的 gdb_script.txt
:
start
set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f10 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f20 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f65 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fad = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fc4 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401035 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401058 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401084 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4010c6 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401123 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401140 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4011e9 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401267 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x40127d = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401494 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401595 = {0x90, 0x90, 0x90, 0x90, 0x90}
continue
启动 gdb 程序的命令如下:
gdb -x gdb_script.txt ./bomb
程序执行结果: 前5关能顺序执行,第6关报告segment fault:
Temporary breakpoint 1, main (argc=1, argv=0x7fffffffd988) at bomb.c:37
37 {
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2. Keep going!
3
Halfway there!
4
So you got that one. Try this one.
5
Good work! On to the next...
6
Program received signal SIGSEGV, Segmentation fault.
0x00000000004011c0 in phase_6 ()
其中每一关的输入,我只输入了一个数字。第6关失败是因为需要输入6个数字,我改为输入6个数字后就成功的“作弊”通关了:
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2. Keep going!
3
Halfway there!
4
So you got that one. Try this one.
5
Good work! On to the next...
1 2 3 4 5 6
Congratulations! You've defused the bomb!
[Inferior 1 (process 84917) exited normally]
需要先根据汇编代码,找到 call explode_bomb 汇编指令对应的内存地址,例如地址是 0x400b10, 那么输入 break *0x400b10
来打断点。
而如果执行 break explode_bomb
, 则是进入到了 explode_bomb 函数里的第一句,此时已经晚了,不能用 set 修改 call explode_bomb 为 nop 了
gdb 可以被交互方式使用, 也可以把需要执行的命令, 提前准备好到一个文本中, 启动 gdb 时传入 -x xxx.txt 来启动:
gdb -x gdb_script.txt ./bomb
set 命令是改内存, 需要先让程序启动, 最佳方式是先执行 start 命令, 会让程序加载进来,在main入口暂停
使用 Python 并结合 shell 命令, 相比于一水儿的 shell 命令, 代码虽然多了,但是更容易写出来。
set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}