實(shí)驗(yàn)二—BombLab
實(shí)驗(yàn)材料
- 一個(gè)能夠運(yùn)行的Linux或者Unix系統(tǒng)
- 官網(wǎng)的實(shí)習(xí)手冊(cè)
實(shí)驗(yàn)規(guī)則
實(shí)驗(yàn)共有6個(gè)關(guān)卡宝恶,分別是phase_1到phase_6盟迟,對(duì)于每一個(gè)關(guān)卡莱革,你需要輸入相應(yīng)的數(shù)字或者字符串献丑,你應(yīng)該仔細(xì)研究它們的匯編語(yǔ)句悟民,根據(jù)這些匯編語(yǔ)句來(lái)推測(cè)出你需要輸入的數(shù)據(jù)厕氨,避免程序跳轉(zhuǎn)到explode_bomb函數(shù)进每,這意味著炸彈拆除失敗。
開(kāi)始實(shí)驗(yàn)前命斧,你應(yīng)該確保你已經(jīng)從官網(wǎng)下載了實(shí)習(xí)手冊(cè)田晚,然后,你的系統(tǒng)應(yīng)該要安裝好gdb調(diào)試器国葬,因?yàn)槲覀兘酉聛?lái)的調(diào)試都是基于gdb調(diào)試的贤徒。
2BombLab
關(guān)卡一
我們首先鍵入以下語(yǔ)句,來(lái)將bomb的匯編語(yǔ)句輸出到bomb.txt文本中:
objdump -d bomb > bomb.txt
我們找到main函數(shù)語(yǔ)句的入口:
0000000000400da0 <main>:
400da0: 53 push %rbx
400da1: 83 ff 01 cmp $0x1,%edi
400da4: 75 10 jne 400db6 <main+0x16>
400da6: 48 8b 05 9b 29 20 00 mov 0x20299b(%rip),%rax # 603748 <stdin@@GLIBC_2.2.5>
400dad: 48 89 05 b4 29 20 00 mov %rax,0x2029b4(%rip) # 603768 <infile>
400db4: eb 63 jmp 400e19 <main+0x79>
400db6: 48 89 f3 mov %rsi,%rbx
400db9: 83 ff 02 cmp $0x2,%edi
400dbc: 75 3a jne 400df8 <main+0x58>
400dbe: 48 8b 7e 08 mov 0x8(%rsi),%rdi
400dc2: be b4 22 40 00 mov $0x4022b4,%esi
400dc7: e8 44 fe ff ff callq 400c10 <fopen@plt>
400dcc: 48 89 05 95 29 20 00 mov %rax,0x202995(%rip) # 603768 <infile>
400dd3: 48 85 c0 test %rax,%rax
400dd6: 75 41 jne 400e19 <main+0x79>
400dd8: 48 8b 4b 08 mov 0x8(%rbx),%rcx
400ddc: 48 8b 13 mov (%rbx),%rdx
400ddf: be b6 22 40 00 mov $0x4022b6,%esi
400de4: bf 01 00 00 00 mov $0x1,%edi
400de9: e8 12 fe ff ff callq 400c00 <__printf_chk@plt>
400dee: bf 08 00 00 00 mov $0x8,%edi
400df3: e8 28 fe ff ff callq 400c20 <exit@plt>
400df8: 48 8b 16 mov (%rsi),%rdx
400dfb: be d3 22 40 00 mov $0x4022d3,%esi
400e00: bf 01 00 00 00 mov $0x1,%edi
400e05: b8 00 00 00 00 mov $0x0,%eax
400e0a: e8 f1 fd ff ff callq 400c00 <__printf_chk@plt>
400e0f: bf 08 00 00 00 mov $0x8,%edi
400e14: e8 07 fe ff ff callq 400c20 <exit@plt>
400e19: e8 84 05 00 00 callq 4013a2 <initialize_bomb>
400e1e: bf 38 23 40 00 mov $0x402338,%edi
400e23: e8 e8 fc ff ff callq 400b10 <puts@plt>
400e28: bf 78 23 40 00 mov $0x402378,%edi
400e2d: e8 de fc ff ff callq 400b10 <puts@plt>
400e32: e8 67 06 00 00 callq 40149e <read_line>
400e37: 48 89 c7 mov %rax,%rdi
400e3a: e8 a1 00 00 00 callq 400ee0 <phase_1>
400e3f: e8 80 07 00 00 callq 4015c4 <phase_defused>
400e44: bf a8 23 40 00 mov $0x4023a8,%edi
400e49: e8 c2 fc ff ff callq 400b10 <puts@plt>
400e4e: e8 4b 06 00 00 callq 40149e <read_line>
400e53: 48 89 c7 mov %rax,%rdi
400e56: e8 a1 00 00 00 callq 400efc <phase_2>
400e5b: e8 64 07 00 00 callq 4015c4 <phase_defused>
400e60: bf ed 22 40 00 mov $0x4022ed,%edi
400e65: e8 a6 fc ff ff callq 400b10 <puts@plt>
400e6a: e8 2f 06 00 00 callq 40149e <read_line>
400e6f: 48 89 c7 mov %rax,%rdi
400e72: e8 cc 00 00 00 callq 400f43 <phase_3>
400e77: e8 48 07 00 00 callq 4015c4 <phase_defused>
400e7c: bf 0b 23 40 00 mov $0x40230b,%edi
400e81: e8 8a fc ff ff callq 400b10 <puts@plt>
400e86: e8 13 06 00 00 callq 40149e <read_line>
400e8b: 48 89 c7 mov %rax,%rdi
400e8e: e8 79 01 00 00 callq 40100c <phase_4>
400e93: e8 2c 07 00 00 callq 4015c4 <phase_defused>
400e98: bf d8 23 40 00 mov $0x4023d8,%edi
400e9d: e8 6e fc ff ff callq 400b10 <puts@plt>
400ea2: e8 f7 05 00 00 callq 40149e <read_line>
400ea7: 48 89 c7 mov %rax,%rdi
400eaa: e8 b3 01 00 00 callq 401062 <phase_5>
400eaf: e8 10 07 00 00 callq 4015c4 <phase_defused>
400eb4: bf 1a 23 40 00 mov $0x40231a,%edi
400eb9: e8 52 fc ff ff callq 400b10 <puts@plt>
400ebe: e8 db 05 00 00 callq 40149e <read_line>
400ec3: 48 89 c7 mov %rax,%rdi
400ec6: e8 29 02 00 00 callq 4010f4 <phase_6>
400ecb: e8 f4 06 00 00 callq 4015c4 <phase_defused>
400ed0: b8 00 00 00 00 mov $0x0,%eax
400ed5: 5b pop %rbx
400ed6: c3 retq
400ed7: 90 nop
400ed8: 90 nop
400ed9: 90 nop
400eda: 90 nop
400edb: 90 nop
400edc: 90 nop
400edd: 90 nop
400ede: 90 nop
400edf: 90 nop
400f41: 5d pop %rbp
400f42: c3 retq
這看上去很嚇人汇四,但是別急接奈,我們只需要找到和第一關(guān)相關(guān)的語(yǔ)句就可以了:
400e32: e8 67 06 00 00 callq 40149e <read_line>
400e37: 48 89 c7 mov %rax,%rdi
400e3a: e8 a1 00 00 00 callq 400ee0 <phase_1>
在這里我們看到了函數(shù)read_line,顧名思義通孽,應(yīng)該是讓我們輸入一行數(shù)據(jù)序宦,然后將返回值作為第一個(gè)參數(shù)進(jìn)入第一關(guān),這個(gè)返回值應(yīng)該就是我們輸入的一行數(shù)據(jù)的值或者地址背苦,現(xiàn)在它被保存在%rdi中進(jìn)入第一關(guān)互捌。
我們命令行中鍵入gdb bomb以進(jìn)入gdb調(diào)試模式潘明,隨后我們?cè)O(shè)置斷點(diǎn)在第一關(guān)函數(shù)的起始位置,我們需要鍵入命令break phase_1來(lái)完成這個(gè)目的秕噪,然后輸入run(或者r)以啟動(dòng)它钳降。在進(jìn)入第一關(guān)前,就像我們剛剛所說(shuō)的巢价,我們需要輸入一行數(shù)據(jù)牲阁,這里我們隨便輸入一行數(shù)據(jù):”abcdefg”。
輸入完成之后壤躲,程序如愿的在phase_1的起始位置停了下來(lái)城菊,我們鍵入命令 disas 來(lái)查看當(dāng)前函數(shù)的匯編代碼:
0000000000400ee0 <phase_1>:
1 400ee0: 48 83 ec 08 sub $0x8,%rsp /*棧指針減*/
2 400ee4: be 00 24 40 00 mov $0x402400,%esi /*將0x402400移入%esi作為第二個(gè)參數(shù)*/
3 400ee9: e8 4a 04 00 00 callq 401338 <strings_not_equal> /*調(diào)用函數(shù)*/
4 400eee: 85 c0 test %eax,%eax /*測(cè)試返回值是否為0*/
5 400ef0: 74 05 je 400ef7 <phase_1+0x17> /*如果不為0,爆炸*/
6 400ef2: e8 43 05 00 00 callq 40143a <explode_bomb>
7 400ef7: 48 83 c4 08 add $0x8,%rsp
8 400efb: c3 retq
在這一段代碼中我們看到程序調(diào)用了一個(gè)函數(shù)<strings_not_equal>碉克,顧名思義凌唬,它用來(lái)測(cè)試字符串是否不相等,事實(shí)上這段函數(shù)的匯編代碼告訴我們它確實(shí)是如此的漏麦,如果函數(shù)不相等返回1客税,相等則返回0。而這段代碼要求我們返回值一定為0撕贞,否則就會(huì)爆炸更耻,所以我們要保證這兩個(gè)字符串相等,這就是拆除炸彈的秘訣了捏膨。
而在第二行我們看到程序?qū)?x402400作為第二個(gè)參數(shù)秧均,這很顯然不是一個(gè)字符串,那么它應(yīng)該是一個(gè)地址号涯,保存著一個(gè)字符串目胡。那么第一個(gè)參數(shù)%rdi呢?我們?cè)谥耙呀?jīng)分析過(guò)了链快,我們所輸入的字符串的值或者地址被保存在%rdi中忱叭,它將作為第一個(gè)參數(shù)拧簸。那么答案已經(jīng)很明顯了栗恩,我們要保證我們輸入的字符串與地址0x402400中的字符串相等凛剥,那么我們鍵入 x/s 0x402400 以字符串顯示的形式來(lái)查看這個(gè)地址保存的內(nèi)容:
“Border relations with Canada have never been better.”
所以第一關(guān)的答案就是字符串:
Border relations with Canada have never been better.
關(guān)卡二
我們重新啟動(dòng)gdb調(diào)試模式,這一次霉祸,我們將斷點(diǎn)設(shè)置在第二關(guān)炉峰,即鍵入beak phase_2。期間我們需要輸入第一關(guān)的答案脉执,然后我們會(huì)來(lái)到第二關(guān)疼阔,先來(lái)看看與main函數(shù)中第二關(guān)有關(guān)的匯編代碼:
400e4e: e8 4b 06 00 00 callq 40149e <read_line>
400e53: 48 89 c7 mov %rax,%rdi
400e56: e8 a1 00 00 00 callq 400efc <phase_2>
和第一關(guān)一樣,同樣是需要輸入一行數(shù)據(jù),程序相要到達(dá)斷點(diǎn)phase_2婆廊,我們必須要輸入這一行數(shù)據(jù)迅细,我們隨便輸入:”abcdefg”,然后鍵入*disas將第二關(guān)代碼以匯編語(yǔ)句輸出:
0 0000000000400efc <phase_2>:
1 400efc: 55 push %rbp /*保存信息*/
2 400efd: 53 push %rbx
3 400efe: 48 83 ec 28 sub $0x28,%rsp /*棧指針減40*/
4 400f02: 48 89 e6 mov %rsp,%rsi /*%rsi = %rsp作為第二個(gè)參數(shù)*/
5 400f05: e8 52 05 00 00 callq 40145c <read_six_numbers> /*讀取六個(gè)數(shù)字*/
6 400f0a: 83 3c 24 01 cmpl $0x1,(%rsp) /*將內(nèi)存(%rsp)與1比較*/
7 400f0e: 74 20 je 400f30 <phase_2+0x34> /*if == 1, jmp 400f30,否則,bomb!*/
/*進(jìn)入關(guān)鍵循環(huán)*/
8 400f10: e8 25 05 00 00 callq 40143a <explode_bomb>
9 400f15: eb 19 jmp 400f30 <phase_2+0x34>
10 400f17: 8b 43 fc mov -0x4(%rbx),%eax /*%eax = (%rbx - 4) = n[x-1]*/
11 400f1a: 01 c0 add %eax,%eax /*%eax = 2 * %eax*/
12 400f1c: 39 03 cmp %eax,(%rbx) /*將%eax與(%rbp)比較*/
13 400f1e: 74 05 je 400f25 <phase_2+0x29> /*必須要2 * n[x-1] = n[x],否則,bomb!*/
14 400f20: e8 15 05 00 00 callq 40143a <explode_bomb>
15 400f25: 48 83 c3 04 add $0x4,%rbx /*%rbx = %rbx + 4, 引用下一個(gè)數(shù)*/
16 400f29: 48 39 eb cmp %rbp,%rbx /*與%rsp + 24對(duì)比*/
17 400f2c: 75 e9 jne 400f17 <phase_2+0x1b> /*if != ,jmp 400f17*/
18 400f2e: eb 0c jmp 400f3c <phase_2+0x40>
19 400f30: 48 8d 5c 24 04 lea 0x4(%rsp),%rbx /*%rbx = %rsp + 4*/
20 400f35: 48 8d 6c 24 18 lea 0x18(%rsp),%rbp /*%rbp = %rsp + 24*/
21 400f3a: eb db jmp 400f17 <phase_2+0x1b> /*jmp 400f17*/
22 400f3c: 48 83 c4 28 add $0x28,%rsp
23 400f40: 5b pop %rbx
由第5行可以看出淘邻,我們應(yīng)該輸入6個(gè)數(shù)字茵典。由6,7宾舅,8行得出统阿,內(nèi)存(%rsp)的值必須為1,否則就會(huì)爆炸筹我。我們嘗試將關(guān)鍵循環(huán)的部分翻譯成熟悉的C語(yǔ)言風(fēng)格:
for (auto x = %rsp + 4; x != %rsp + 24; x += 4){
int val1 = *(x - 4), val2 = *(x);
if (val1 * 2 != val2)//這說(shuō)明*(x)必須要等有2倍的*(x-4)
Bomb!
}
由于內(nèi)存(%rsp)的值必須為1扶平,這就意味著內(nèi)存(%rsp + 4)必須為2,內(nèi)存(%rsp + 8)必須為4蔬蕊,內(nèi)存(%rsp + 12)必須為8结澄,內(nèi)存(%rsp + 16)必須為16,內(nèi)存(%rsp + 20)必須為32岸夯。其實(shí)我們已經(jīng)猜到了這就是我們需要的答案麻献,但是答案順序是怎么樣的呢?來(lái)看看函數(shù)read_six_numbers內(nèi)究竟發(fā)生了什么猜扮!我們鍵入disas read_six_numbers來(lái)看看它的匯編代碼:
0 /*%rsi = %rrsp, %rdi = read_line*/
1 000000000040145c <read_six_numbers>:
2 40145c: 48 83 ec 18 sub $0x18,%rsp /*%rsp - 24*/
3 401460: 48 89 f2 mov %rsi,%rdx /*%rdx = %rrsp*/
4 401463: 48 8d 4e 04 lea 0x4(%rsi),%rcx /*%rcx = %rrsp + 4*/
5 401467: 48 8d 46 14 lea 0x14(%rsi),%rax /*%rax = %rrsp + 20*/
6 40146b: 48 89 44 24 08 mov %rax,0x8(%rsp) /*(%rsp + 8) = %rrsp + 20*/
7 401470: 48 8d 46 10 lea 0x10(%rsi),%rax /*%rax = %rrsp + 16*/
8 401474: 48 89 04 24 mov %rax,(%rsp) /*(%rsp) = %rrsp + 16*/
9 401478: 4c 8d 4e 0c lea 0xc(%rsi),%r9 /*%r9 = %rrsp + 12*/
10 40147c: 4c 8d 46 08 lea 0x8(%rsi),%r8 /*%r8 = %rrsp + 8*/
11 401480: be c3 25 40 00 mov $0x4025c3,%esi /*%esi = 0x4025c3*/
12 401485: b8 00 00 00 00 mov $0x0,%eax /*%eax = 0*/
13 40148a: e8 61 f7 ff ff callq 400bf0 <__isoc99_sscanf@plt>
14 40148f: 83 f8 05 cmp $0x5,%eax /*必須要正確讀6個(gè)數(shù)或以上勉吻,否則爆炸*/
15 401492: 7f 05 jg 401499 <read_six_numbers+0x3d>
16 401494: e8 a1 ff ff ff callq 40143a <explode_bomb>
17 401499: 48 83 c4 18 add $0x18,%rsp
18 40149d: c3 retq
這段代碼中,我們以%rrsp表示我們?yōu)檫M(jìn)入函數(shù)時(shí)原先的棧指針旅赢,以區(qū)分當(dāng)前減小了的棧指針齿桃。這段代碼中我們看到了sscanf函數(shù),這是一個(gè)我們熟悉的函數(shù)鲜漩,11行的有個(gè)數(shù)字很唐突,我們鍵入x/s 0x4025c3來(lái)看看sscanf的第二個(gè)參數(shù)是什么:
竟然是六個(gè)格式化的輸入形式集惋,而sscanf的第一個(gè)參數(shù)是%rdi孕似,它是我們輸入的一行數(shù)據(jù)的地址或值,根據(jù)第二個(gè)參數(shù)的信息可以看出刮刑,sscanf后面應(yīng)該還會(huì)有第3到第8個(gè)參數(shù)來(lái)將我們輸入的六個(gè)數(shù)字格式化輸出到這六個(gè)參數(shù)中喉祭。看來(lái)這六個(gè)參數(shù)就是關(guān)鍵了雷绢,參考第3.4節(jié)基本寄存器以及我們的匯編注釋泛烙,第三個(gè)參數(shù)到第六個(gè)參數(shù)分別是%rrsp,%%rrsp+4,%rrsp+8,%rrsp+12,而第七個(gè)第八個(gè)參數(shù)會(huì)依次保存至調(diào)用者的棧中上(參考3.8節(jié))翘紊,即第七個(gè)參數(shù)對(duì)于(%rsp) = %rrsp + 16蔽氨,第八個(gè)參數(shù)對(duì)于(%rsp + 8) = %rrsp + 20。好了,讓我們回到第二關(guān)鹉究,現(xiàn)在我們已經(jīng)知道%rsp到%rsp+20依次對(duì)應(yīng)我們輸入數(shù)字的地址宇立,那么答案已經(jīng)很明顯了,我們需要輸入的六個(gè)數(shù)字分別為:
1 2 4 8 16 32
關(guān)卡三
我們按照之前的步驟自赔,來(lái)到斷點(diǎn)phase_3處妈嘹,并輸出第三關(guān)的匯編語(yǔ)句:
1 400f43: sub $0x18,%rsp # 棧指針減24
2 400f47: lea 0xc(%rsp),%rcx # %rcx = %rsp + 12,第4個(gè)參數(shù)
3 400f4c: lea 0x8(%rsp),%rdx # %rdx = %rsp + 8绍妨,第3個(gè)參數(shù)
4 400f51: mov $0x4025cf,%esi # %esi作為第二個(gè)入?yún)?zhǔn)備進(jìn)行函數(shù)調(diào)用
5 400f56: mov $0x0,%eax # 為%eax賦值0
6 400f5b: callq 400bf0 <__isoc99_sscanf@plt>
7 400f60: cmp $0x1,%eax # 如果正確輸入的值的數(shù)量大于1
8 400f63: jg 400f6a <phase_3+0x27> # jmp 400f6a
9 400f65: callq 40143a <explode_bomb> # 否則爆炸
10 400f6a: cmpl $0x7,0x8(%rsp) # %rsp+8的內(nèi)存值與7比較
11 400f6f: ja 400fad <phase_3+0x6a> # 如果大于润脸,爆炸
12 400f71: mov 0x8(%rsp),%eax # %eax = (%rsp + 0x8)
13 400f75: jmpq *0x402470(,%rax,8) # 并跳轉(zhuǎn)至%rax*8+0x402470的內(nèi)存保存的地址上;
14 400f7c: mov $0xcf,%eax
15 400f81: jmp 400fbe <phase_3+0x7b>
16 400f83: mov $0x2c3,%eax
17 400f88: jmp 400fbe <phase_3+0x7b>
18 400f8a: mov $0x100,%eax
19 400f8f: jmp 400fbe <phase_3+0x7b>
20 400f91: mov $0x185,%eax
21 400f96: jmp 400fbe <phase_3+0x7b>
22 400f98: mov $0xce,%eax
23 400f9d: jmp 400fbe <phase_3+0x7b>
24 400f9f: mov $0x2aa,%eax
25 400fa4: jmp 400fbe <phase_3+0x7b>
26 400fa6: mov $0x147,%eax
27 400fab: jmp 400fbe <phase_3+0x7b>
28 400fad: callq 40143a <explode_bomb>
29 400fb2: mov $0x0,%eax
30 400fb7: jmp 400fbe <phase_3+0x7b>
31 400fb9: mov $0x137,%eax
32 400fbe: cmp 0xc(%rsp),%eax
33 400fc2: je 400fc9 <phase_3+0x86>
34 400fc4: callq 40143a <explode_bomb>
35 400fc9: add $0x18,%rsp
36 400fcd: retq
我們又看到了sscanf函數(shù)他去,同之前一樣毙驯,我們打印地址0x4025cf的字符串,發(fā)現(xiàn)這次需要我們輸入兩個(gè)數(shù)字:
(gdb) x/s 0x4025cf
0x4025cf: "%d %d"
同樣的分析孤页,我們發(fā)現(xiàn)sscanf第三個(gè)參數(shù)%rdx = %rsp + 8尔苦,第四個(gè)參數(shù)%rcx = %rsp + 12,這意味著我們輸入的第一個(gè)數(shù)被保存在地址%rsp + 8中行施,第二個(gè)數(shù)被保存在地址%rsp + 12中允坚,由第10,11行可知蛾号,第一個(gè)參數(shù)應(yīng)該小于等于7稠项。來(lái)看看第13行的代碼:400f75: jmpq 0x402470(,%rax,8),它跳轉(zhuǎn)到(0x402470 + 8 * %rax)的位置鲜结,而%rax此時(shí)等于我們的第一個(gè)數(shù)展运,這段代碼的意思是以輸入的第一個(gè)數(shù)為下標(biāo),跳轉(zhuǎn)到以0x402470為起始地址精刷,數(shù)組元素大小為8字節(jié)的數(shù)組的內(nèi)存位置拗胜,我們?cè)囍蛴?x402470的值,這一次怒允,我們以16進(jìn)制格式打印埂软,我們鍵入x/8x 0x402470*:
(gdb) x/8a 0x402470
0x402470: 0x400f7c <phase_3+57> 0x400fb9 <phase_3+118>
0x402480: 0x400f83 <phase_3+64> 0x400f8a <phase_3+71>
0x402490: 0x400f91 <phase_3+78> 0x400f98 <phase_3+85>
0x4024a0: 0x400f9f <phase_3+92> 0x400fa6 <phase_3+99>
那么這個(gè)數(shù)組應(yīng)該為array[8] = {0x400f7c,0x400fb9,0x400f83,...,0x400fa6},假設(shè)我們的第一個(gè)數(shù)為0纫事,那么我們應(yīng)該會(huì)跳轉(zhuǎn)到0x400f7c位置處勘畔,我們抽取相應(yīng)的代碼:
14 400f7c: mov $0xcf,%eax /*%eax = 0xcf = 207*/
15 400f81: jmp 400fbe <phase_3+0x7b> /*jmp 400fbe*/
......
32 400fbe: cmp 0xc(%rsp),%eax /*將0xcf與我們的第二個(gè)參數(shù)對(duì)比*/
33 400fc2: je 400fc9 <phase_3+0x86> /*如果等于,拆除成功丽惶,否則爆炸炫七!*/
34 400fc4: callq 40143a <explode_bomb>
對(duì)應(yīng)的第二個(gè)數(shù)應(yīng)該為207,事實(shí)上應(yīng)該有8中不同的答案钾唬,這僅僅是其中一種答案:
0 207
關(guān)卡四
現(xiàn)在万哪,我們來(lái)到了關(guān)卡四侠驯,來(lái)看看它的匯編代碼:
0 000000000040100c <phase_4>:
1 40100c: sub $0x18,%rsp
2 401010: lea 0xc(%rsp),%rcx # %rcx = %rsp + 12
3 401015: lea 0x8(%rsp),%rdx # %rdx = %rsp + 8
4 40101a: mov $0x4025cf,%esi # 0x4025cf是"%d %d"
5 40101f: mov $0x0,%eax
6 401024: callq 400bf0 <__isoc99_sscanf@plt>
7 401029: cmp $0x2,%eax # 正確輸入值的個(gè)數(shù)只能為2個(gè)
8 40102c: jne 401035 <phase_4+0x29> # 否則爆炸
9 40102e: cmpl $0xe,0x8(%rsp) # 第一個(gè)數(shù)和14比較
10 401033: jbe 40103a <phase_4+0x2e> # 如果這個(gè)數(shù) <= 14 jmp
11 401035: callq 40143a <explode_bomb> # 否則爆炸
12 40103a: mov $0xe,%edx # %edx = 14 第三個(gè)入?yún)?13 40103f: mov $0x0,%esi # %esi = 0 第二個(gè)入?yún)?14 401044: mov 0x8(%rsp),%edi # 第一個(gè)數(shù)作為第一個(gè)參數(shù)
15 401048: callq 400fce <func4> # 調(diào)用函數(shù)
16 40104d: test %eax,%eax # 返回值結(jié)果
17 40104f: jne 401058 <phase_4+0x4c> # 不等于0時(shí),爆炸
18 401051: cmpl $0x0,0xc(%rsp) # 第二個(gè)數(shù)和0比較
19 401056: je 40105d <phase_4+0x51> # 相等壤圃,返回
20 401058: callq 40143a <explode_bomb> # 不相等 爆炸
21 40105d: add $0x18,%rsp
22 401061: retq
我們依然看到了sscanf這個(gè)函數(shù)陵霉,我們同之前一樣的分析,會(huì)發(fā)現(xiàn)這一關(guān)依然只需要我們輸入兩個(gè)整數(shù)伍绳,并且它們被放在地址%rsp + 8 和 %rsp + 12的內(nèi)存位置中踊挠。通過(guò)第18、19行可以看出冲杀,第二個(gè)數(shù)一定得為0效床。而對(duì)于第一個(gè)數(shù)而言,由第10行可知权谁,它必須小于等于14剩檀,分析第12行到第17行,我們發(fā)現(xiàn)第一個(gè)數(shù)被當(dāng)作第一個(gè)參數(shù)調(diào)用了函數(shù)func4旺芽,而這個(gè)函數(shù)調(diào)用的結(jié)果必須為0沪猴,那么,我們鍵入disas func4來(lái)看看這個(gè)函數(shù)到底做了什么:
0 /*%rdi = n[0], %rsi = 0, %rdx = 14*/
1 0000000000400fce <func4>:
2 400fce: 48 83 ec 08 sub $0x8,%rsp # %rsp - 8
3 400fd2: 89 d0 mov %edx,%eax # %eax = %edx = 14
4 400fd4: 29 f0 sub %esi,%eax # %eax -= %esi(初始值為0)
5 400fd6: 89 c1 mov %eax,%ecx # %ecx = %eax = 14
6 400fd8: c1 e9 1f shr $0x1f,%ecx # %ecx >> 31 = 0, 邏輯右移
7 400fdb: 01 c8 add %ecx,%eax # %eax += %ecx = 14
8 400fdd: d1 f8 sar %eax # %eax >> 1 = 7, 算術(shù)右移
9 400fdf: 8d 0c 30 lea (%rax,%rsi,1),%ecx # %ecx = %rax + %rsi = 7
10 400fe2: 39 f9 cmp %edi,%ecx # 將%ecx 與 n[0] 比較
11 400fe4: 7e 0c jle 400ff2 <func4+0x24> # if 7 小于等于 n[0], jmp 400ff2
12 400fe6: 8d 51 ff lea -0x1(%rcx),%edx # 否則 %edx = % rcx - 1
13 400fe9: e8 e0 ff ff ff callq 400fce <func4> # 遞歸調(diào)用
14 400fee: 01 c0 add %eax,%eax # return %rax + %rax
15 400ff0: eb 15 jmp 401007 <func4+0x39>
16 400ff2: b8 00 00 00 00 mov $0x0,%eax # 設(shè)置返回值 = 0
17 400ff7: 39 f9 cmp %edi,%ecx # 將%ecx 與 n[0] 比較
18 400ff9: 7d 0c jge 401007 <func4+0x39> # if %ecx >= n[0], return
19 400ffb: 8d 71 01 lea 0x1(%rcx),%esi # 否則, %esi = %rcx + 1
20 400ffe: e8 cb ff ff ff callq 400fce <func4> # 遞歸調(diào)用
21 401003: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax # %eax = %rax + %rax + 1
22 401007: 48 83 c4 08 add $0x8,%rsp
23 40100b: c3 retq
可以看出來(lái)這是一段遞歸的調(diào)用采章,它的等價(jià)C語(yǔ)言很好寫出來(lái):
int func4(int nums, int x, int y){
int ret = y - x;
int k = (unsigned)(ret) >> 31;
ret = (k + ret) >> 1;
k = ret + x;
if (k > nums)
return 2 * func4(nums, x, k - 1);
ret = 0;
if (k < nums)
return 2 * func4(nums, k + 1, y) + 1;
return ret;
}
首先我們必須肯定我們要輸入的第一個(gè)數(shù)nums必須大于等于0运嗜,否則這段代碼將會(huì)陷入死循環(huán),那么我們枚舉包括0到14之間所有的值悯舟,判斷func4的返回值是否為0担租,這個(gè)枚舉循環(huán)很好寫:
for(int i = 0; i <= 14; i++)
if(func4(i, 0, 14) == 0)
printf("%d\n", i);
我們可以得到輸出0、1抵怎、3奋救、7,那么我們?nèi)芜x其一作為第一個(gè)數(shù)反惕,這里我們選擇0尝艘,而第二個(gè)數(shù)必須為0,于是有答案:
0 0
關(guān)卡五
現(xiàn)在姿染,我們來(lái)到了倒數(shù)第二關(guān)背亥,輸出第五關(guān)的匯編代碼如下:
31 0000000000401062 <phase_5>:
32 401062: push %rbx
33 401063: sub $0x20,%rsp
34 401067: mov %rdi,%rbx # %rdi是我們輸入子串的地址,現(xiàn)在它保存在%rbx中
35 40106a: mov %fs:0x28,%rax
36 401071:
37 401073: mov %rax,0x18(%rsp) # (%rsp + 0x18) = %rax
38 401078: xor %eax,%eax # %eax = 0
39 40107a: callq 40131b <string_length> # 顧名思義盔粹,計(jì)算字符串長(zhǎng)度函數(shù)
40 40107f: cmp $0x6,%eax # 要求輸入的字符序列長(zhǎng)度為6
41 401082: je 4010d2 <phase_5+0x70> # jmp 4010d2
42 401084: callq 40143a <explode_bomb> # 不然爆炸
43 401089: jmp 4010d2 <phase_5+0x70> # jmp 4010d2
44 # 關(guān)鍵循環(huán)部分
45 40108b: movzbl (%rbx,%rax,1),%ecx # %ecx = (%rbx + 0)(我們輸入的字串) = str[0] = str[%rax]
46 40108f: mov %cl,(%rsp) # (%rsp) = str[%rax]
47 401092: mov (%rsp),%rdx # %rdx = (%rsp) = str[%rax]
48 401096: and $0xf,%edx # %rdx = str[%rax] & 0xf
49 401099: movzbl 0x4024b0(%rdx),%edx # %rdx = 訪問(wèn)(0x4024b0 + %rdx)地址處的值,設(shè)為arr[%rdx]
50 4010a0: mov %dl,0x10(%rsp,%rax,1) # (%rsp + %rax + 0x10) = arr[%rdx]
51 4010a4: add $0x1,%rax # %rax += 1
52 4010a8: cmp $0x6,%rax # 運(yùn)行6次之后跳出
53 4010ac: jne 40108b <phase_5+0x29>
54 #
55 4010ae: movb $0x0,0x16(%rsp) # (%rsp + 0x16) = 0
56 4010b3: mov $0x40245e,%esi # 第二個(gè)入?yún)ⅲ?x40245e字的符串"flyers"
57 4010b8: lea 0x10(%rsp),%rdi # 第一個(gè)入?yún)ⅲ荷鲜鲅h(huán)壓棧的字符
58 4010bd: callq 401338 <strings_not_equal>
59 4010c2: test %eax,%eax
60 4010c4: je 4010d9 <phase_5+0x77> # 字符串相等隘梨, return
61 4010c6: callq 40143a <explode_bomb> # 否則, bomb!
62 4010cb: nopl 0x0(%rax,%rax,1)
63 4010d0: jmp 4010d9 <phase_5+0x77>
64 4010d2: mov $0x0,%eax
65 4010d7: jmp 40108b <phase_5+0x29>
66 4010d9: mov 0x18(%rsp),%rax
67 4010de: xor %fs:0x28,%rax
68 4010e5:
69 4010e7: je 4010ee <phase_5+0x8c>
70 4010e9: callq 400b30 <__stack_chk_fail@plt>
71 4010ee: add $0x20,%rsp
72 4010f2: pop %rbx
73 4010f3: retq
根據(jù)39到41行可以看出程癌,這一關(guān)要求我們輸入一個(gè)字符串舷嗡,并且字符串的長(zhǎng)度一定得等于6。然后讓我們來(lái)著重分析這一關(guān)的關(guān)鍵循環(huán)部分嵌莉,根據(jù)我們的注釋进萄,循環(huán)一共執(zhí)行了6次,它以我們輸入的每一個(gè)字符串與0xf得到的結(jié)果作為下標(biāo),訪問(wèn)0x4024b0處的字符中鼠,并將得到的字符依次放地址為%rsp + 0x10 到 %rsp + 5 + 0x10的內(nèi)存中可婶。
來(lái)看看0x4024b0處的字符串:”maduiersnfotvbylso you think you can stop the bomb with ctrl-c, do you?”,這段話的奧義很神妙援雇,我們姑且放一放矛渴。55到61行將我們循環(huán)部分中壓入的6個(gè)字符與”flyers”對(duì)比,當(dāng)它們相等時(shí)惫搏,我們才能成功拆除炸彈具温。這說(shuō)明我們循環(huán)壓入棧中的6個(gè)字符應(yīng)該依次為’f’ ‘l’ ‘y’ ‘e’ ‘r’ ‘s’(56行),我們假設(shè)我們輸入的6個(gè)字符串為str筐赔,0x4024b0位置的字符串為arr铣猩,這就意味著我們必須要滿足:
arr[str[0] & 0xf] = ‘f’
arr[str[1] & 0xf] = ‘l’
arr[str[2] & 0xf] = ‘y’
arr[str[3] & 0xf] = ‘e’
arr[str[4] & 0xf] = ‘r’
arr[str[5] & 0xf] = ‘s’
這會(huì)有很多種答案,我們僅給出一種答案茴丰,我們挑選arr[9] = ‘f’达皿、arr[15] = ‘l’、arr[14] = ‘y’贿肩、arr[5] = ‘e’峦椰、arr[6] = ‘r’和 arr[7] = ‘s’,然后我們給出輸入的答案:”)/>5&7”尸曼,它們ASCII碼對(duì)應(yīng)十進(jìn)制數(shù)與0xf的值分別為9们何、15、14控轿、5冤竹、6、7茬射,因此鹦蠕,這是一個(gè)合法的答案:
)/>5&7
關(guān)卡六
這是我們的最后一彈,也是最難的一彈在抛,來(lái)看看它的匯編代碼钟病,我將它分為四個(gè)部分:
00000000004010f4 <phase_6>:
##第一部分
1 4010f4: 41 56 push %r14 /*一些準(zhǔn)備工作*/
2 4010f6: 41 55 push %r13
3 4010f8: 41 54 push %r12
4 4010fa: 55 push %rbp
5 4010fb: 53 push %rbx
6 4010fc: 48 83 ec 50 sub $0x50,%rsp /*棧指針減80*/
7 401100: 49 89 e5 mov %rsp,%r13 /*%r13 = %rsp*/
8 401103: 48 89 e6 mov %rsp,%rsi /*%rsi = %rsp*/
9 401106: e8 51 03 00 00 callq 40145c <read_six_numbers> /*調(diào)用函數(shù),讀六個(gè)數(shù)字*/
10 40110b: 49 89 e6 mov %rsp,%r14 /*%r14 = %rsp*/
11 40110e: 41 bc 00 00 00 00 mov $0x0,%r12d /*%r12d = 0*/
12 401114: 4c 89 ed mov %r13,%rbp /*%rbp = %r13 = %rsp*/
13 401117: 41 8b 45 00 mov 0x0(%r13),%eax /*%eax = (%rsp) = n[0]*/
14 40111b: 83 e8 01 sub $0x1,%eax /*%eax = (%rsp) - 1= n[0] - 1*/
15 40111e: 83 f8 05 cmp $0x5,%eax /*n[0] - 1與 5比較*/
16 401121: 76 05 jbe 401128 <phase_6+0x34> /*if (n[0] <= 6), jmp 401128*/
17 401123: e8 12 03 00 00 callq 40143a <explode_bomb> /*bomb*/
18 401128: 41 83 c4 01 add $0x1,%r12d /*%r12d++*/
19 40112c: 41 83 fc 06 cmp $0x6,%r12d /*if (%12d == 6), jmp 401153*/
20 401130: 74 21 je 401153 <phase_6+0x5f>
21 401132: 44 89 e3 mov %r12d,%ebx /*%ebx = %12d*/
22 401135: 48 63 c3 movslq %ebx,%rax /*%rax = %ebx = %12d*/
23 401138: 8b 04 84 mov (%rsp,%rax,4),%eax /*%eax = n[%rax]*/
24 40113b: 39 45 00 cmp %eax,0x0(%rbp) /*比較當(dāng)前棧內(nèi)存與當(dāng)前輸入數(shù)字*/
25 40113e: 75 05 jne 401145 <phase_6+0x51> /*if (n[%rax] == n[i]), bomb*/
26 401140: e8 f5 02 00 00 callq 40143a <explode_bomb>
27 401145: 83 c3 01 add $0x1,%ebx /*%ebx++*/
28 401148: 83 fb 05 cmp $0x5,%ebx /*比較%ebx與5*/
29 40114b: 7e e8 jle 401135 <phase_6+0x41> /*if (%ebx <= 5), jmp 401135*/
30 40114d: 49 83 c5 04 add $0x4,%r13 /*%r13 += 4*/
31 401151: eb c1 jmp 401114 <phase_6+0x20> /*無(wú)條件跳轉(zhuǎn)到401114*/
##
##第二部分
32 401153: 48 8d 74 24 18 lea 0x18(%rsp),%rsi /*%rsi = %rsp + 24*/
33 401158: 4c 89 f0 mov %r14,%rax /*%rax = %r14 = %rsp*/
34 40115b: b9 07 00 00 00 mov $0x7,%ecx /*%ecx = 7*/
35 401160: 89 ca mov %ecx,%edx /*%edx = %ecx = 7*/
36 401162: 2b 10 sub (%rax),%edx /*(%rax) = n[x], %edx = 7 - n[x]*/
37 401164: 89 10 mov %edx,(%rax) /*(%rax) = %edx = 7 - n[x]*/
38 401166: 48 83 c0 04 add $0x4,%rax /*%rax = %rsp + 4*/
39 40116a: 48 39 f0 cmp %rsi,%rax /*比較%rsp + x 與 %rsp + 24*/
40 40116d: 75 f1 jne 401160 <phase_6+0x6c> /*if (x != 24), jmp 401160*/
##
##第三部分
%rax = %rsp + 24
41 40116f: be 00 00 00 00 mov $0x0,%esi /*%esi = 0*/
42 401174: eb 21 jmp 401197 <phase_6+0xa3> /*jmp 40117*/
43 401176: 48 8b 52 08 mov 0x8(%rdx),%rdx /*%rdx = (%rdx + 8)*/
44 40117a: 83 c0 01 add $0x1,%eax /*%eax++*/
45 40117d: 39 c8 cmp %ecx,%eax /*比較%eax 與 %ecx*/
46 40117f: 75 f5 jne 401176 <phase_6+0x82> /*if (%eax != %%ecx), jmp 401176*/
47 401181: eb 05 jmp 401188 <phase_6+0x94> /*jmp 401188*/
48 401183: ba d0 32 60 00 mov $0x6032d0,%edx /*%edx = 0x6032d0*/
49 401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) /*%(%rsp + 2*%rsi + 0x20) = %rdx*/
50 40118d: 48 83 c6 04 add $0x4,%rsi /*%rsi += 4*/
51 401191: 48 83 fe 18 cmp $0x18,%rsi /*比較%rsp + 4x 與 %rsp + 24*/
52 401195: 74 14 je 4011ab <phase_6+0xb7> /*if ==, jmp 4011ab*/
53 401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx /*%ecx = n[%rsp / 4]*/
54 40119a: 83 f9 01 cmp $0x1,%ecx /*%ecx ? 1*/
55 40119d: 7e e4 jle 401183 <phase_6+0x8f> /*if (n[x] <= 1), jmp 401183*/
56 40119f: b8 01 00 00 00 mov $0x1,%eax /*%eax = 1*/
57 4011a4: ba d0 32 60 00 mov $0x6032d0,%edx /*%edx = 0x6032d0*/
58 4011a9: eb cb jmp 401176 <phase_6+0x82> /*jmp 401176*/
#
59 4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx /*%rbx = (%rsp + 0x20)*/
60 4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax /*%rax = %rsp + 0x28*/
61 4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi /*%rsi = %rsp + 0x50*/
62 4011ba: 48 89 d9 mov %rbx,%rcx /*%rcx = %rbx = (%rsp + 0x20)*/
63 4011bd: 48 8b 10 mov (%rax),%rdx /*%rdx = (%rax) = (%rsp + 0x28)*/
64 4011c0: 48 89 51 08 mov %rdx,0x8(%rcx) /*(%rsp + 0x28) = (%rsp + 0x28)*/
65 4011c4: 48 83 c0 08 add $0x8,%rax /*%rax= %rax + 8*/
66 4011c8: 48 39 f0 cmp %rsi,%rax /*%rax ? %rsp + 0x50*/
67 4011cb: 74 05 je 4011d2 <phase_6+0xde> /*if ==, jmp 4011d2*/
68 4011cd: 48 89 d1 mov %rdx,%rcx /*if !=, %rcx = %rdx*/
69 4011d0: eb eb jmp 4011bd <phase_6+0xc9> /*jmp 4011bd*/
70 4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx) /*(rdx+8) = 0*/
##
##第四部分
%rdx = 0x6032e0
%rbx = *(%rsp + 0x20)
71 4011d9: 00
72 4011da: bd 05 00 00 00 mov $0x5,%ebp /*%ebp = 5*/
73 4011df: 48 8b 43 08 mov 0x8(%rbx),%rax /*%rax = (%rbx + 8) = node<2>->val*/
74 4011e3: 8b 00 mov (%rax),%eax /*%eax = node<2>->val*/
75 4011e5: 39 03 cmp %eax,(%rbx) /*node<1>->val ? node<2>->val*/
76 4011e7: 7d 05 jge 4011ee <phase_6+0xfa> /*if <, bomb!*/
77 4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb>
78 4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx /*%rbx = node<2>*/
79 4011f2: 83 ed 01 sub $0x1,%ebp /*%ebp--*/
80 4011f5: 75 e8 jne 4011df <phase_6+0xeb> /*if (%ebp != 0), jmp 4011df*/
81 4011f7: 48 83 c4 50 add $0x50,%rsp
82 4011fb: 5b pop %rbx
83 4011fc: 5d pop %rbp
84 4011fd: 41 5c pop %r12
85 4011ff: 41 5d pop %r13
86 401201: 41 5e pop %r14
86 401203: c3 retq
##結(jié)束了
第一部分
代碼很長(zhǎng)刚梭,但是別怕肠阱,讓我們逐個(gè)擊破,先提取出第一部分:
##第一部分
1 4010f4: 41 56 push %r14 /*一些準(zhǔn)備工作*/
2 4010f6: 41 55 push %r13
3 4010f8: 41 54 push %r12
4 4010fa: 55 push %rbp
5 4010fb: 53 push %rbx
6 4010fc: 48 83 ec 50 sub $0x50,%rsp /*棧指針減80*/
7 401100: 49 89 e5 mov %rsp,%r13 /*%r13 = %rsp*/
8 401103: 48 89 e6 mov %rsp,%rsi /*%rsi = %rsp*/
9 401106: e8 51 03 00 00 callq 40145c <read_six_numbers> /*調(diào)用函數(shù)朴读,讀六個(gè)數(shù)字*/
10 40110b: 49 89 e6 mov %rsp,%r14 /*%r14 = %rsp*/
11 40110e: 41 bc 00 00 00 00 mov $0x0,%r12d /*%r12d = 0*/
12 401114: 4c 89 ed mov %r13,%rbp /*%rbp = %r13 = %rsp*/
13 401117: 41 8b 45 00 mov 0x0(%r13),%eax /*%eax = (%rsp) = n[0]*/
14 40111b: 83 e8 01 sub $0x1,%eax /*%eax = (%rsp) - 1= n[0] - 1*/
15 40111e: 83 f8 05 cmp $0x5,%eax /*n[0] - 1與 5比較*/
16 401121: 76 05 jbe 401128 <phase_6+0x34> /*if (n[0] <= 6), jmp 401128*/
17 401123: e8 12 03 00 00 callq 40143a <explode_bomb> /*bomb*/
18 401128: 41 83 c4 01 add $0x1,%r12d /*%r12d++*/
19 40112c: 41 83 fc 06 cmp $0x6,%r12d /*if (%12d == 6), jmp 401153*/
20 401130: 74 21 je 401153 <phase_6+0x5f>
21 401132: 44 89 e3 mov %r12d,%ebx /*%ebx = %12d*/
22 401135: 48 63 c3 movslq %ebx,%rax /*%rax = %ebx = %12d*/
23 401138: 8b 04 84 mov (%rsp,%rax,4),%eax /*%eax = n[%rax]*/
24 40113b: 39 45 00 cmp %eax,0x0(%rbp) /*比較當(dāng)前棧內(nèi)存與當(dāng)前輸入數(shù)字*/
25 40113e: 75 05 jne 401145 <phase_6+0x51> /*if (n[%rax] == n[i]), bomb*/
26 401140: e8 f5 02 00 00 callq 40143a <explode_bomb>
27 401145: 83 c3 01 add $0x1,%ebx /*%ebx++*/
28 401148: 83 fb 05 cmp $0x5,%ebx /*比較%ebx與5*/
29 40114b: 7e e8 jle 401135 <phase_6+0x41> /*if (%ebx <= 5), jmp 401135*/
30 40114d: 49 83 c5 04 add $0x4,%r13 /*%r13 += 4*/
31 401151: eb c1 jmp 401114 <phase_6+0x20> /*無(wú)條件跳轉(zhuǎn)到401114*/
##
這題同第二題一樣屹徘,也是調(diào)用了read_six_numbers,那么說(shuō)明我們應(yīng)該輸入六個(gè)數(shù)字衅金,并且這六個(gè)數(shù)字會(huì)被保存在內(nèi)存 (%rsp) 到 (%rsp + 20) 中噪伊。對(duì)于第一部分簿煌,首先通過(guò)31行判定這是一個(gè)循環(huán)體,它將%r13 + 4鉴吹,考慮第13行到16行姨伟,這個(gè)操作會(huì)使得我們輸入的六個(gè)數(shù)(n[0-5])都會(huì)被強(qiáng)制性要求小于6,而在第18行到29行之間豆励,又有一個(gè)內(nèi)循環(huán)夺荒,它使得每一個(gè)數(shù)字之間兩兩對(duì)比,這段代碼的等價(jià)C語(yǔ)言為:
for (int i = 0; i < 6; i++){
if (n[0] > 6)
Bomb!
for (int j = i + 1; j < 6; j++){
if (n[j] == n[i])
Bomb!
}
}
所以良蒸,第一部分使得我們輸入的六個(gè)數(shù)均小于等于6般堆,且互不相同。
第二部分
##第二部分
32 401153: 48 8d 74 24 18 lea 0x18(%rsp),%rsi /*%rsi = %rsp + 24*/
33 401158: 4c 89 f0 mov %r14,%rax /*%rax = %r14 = %rsp*/
34 40115b: b9 07 00 00 00 mov $0x7,%ecx /*%ecx = 7*/
35 401160: 89 ca mov %ecx,%edx /*%edx = %ecx = 7*/
36 401162: 2b 10 sub (%rax),%edx /*(%rax) = n[x], %edx = 7 - n[x]*/
37 401164: 89 10 mov %edx,(%rax) /*(%rax) = %edx = 7 - n[x]*/
38 401166: 48 83 c0 04 add $0x4,%rax /*%rax = %rsp + 4*/
39 40116a: 48 39 f0 cmp %rsi,%rax /*比較%rsp + x 與 %rsp + 24*/
40 40116d: 75 f1 jne 401160 <phase_6+0x6c> /*if (x != 24), jmp 401160*/
##
第二部分相對(duì)而言比較簡(jiǎn)單诚啃,它將我們輸入的每一個(gè)數(shù)都用7減淮摔,等價(jià)的C語(yǔ)言是:
for (int i = 0; i < 6; i++){
int t = 7 - n[i];
n[i] = t;
}
第三部分
第三部分是最難的部分,我又將第三部分分為兩個(gè)小部分始赎,先來(lái)看看第一個(gè)小部分:
##第三部分
%rax = %rsp + 24
41 40116f: be 00 00 00 00 mov $0x0,%esi /*%esi = 0*/
42 401174: eb 21 jmp 401197 <phase_6+0xa3> /*jmp 40117*/
43 401176: 48 8b 52 08 mov 0x8(%rdx),%rdx /*%rdx = (%rdx + 8)*/
44 40117a: 83 c0 01 add $0x1,%eax /*%eax++*/
45 40117d: 39 c8 cmp %ecx,%eax /*比較%eax 與 %ecx*/
46 40117f: 75 f5 jne 401176 <phase_6+0x82> /*if (%eax != %%ecx), jmp 401176*/
47 401181: eb 05 jmp 401188 <phase_6+0x94> /*jmp 401188*/
48 401183: ba d0 32 60 00 mov $0x6032d0,%edx /*%edx = 0x6032d0*/
49 401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) /*%(%rsp + 2*%rsi + 0x20) = %rdx*/
50 40118d: 48 83 c6 04 add $0x4,%rsi /*%rsi += 4*/
51 401191: 48 83 fe 18 cmp $0x18,%rsi /*比較%rsp + 4x 與 %rsp + 24*/
52 401195: 74 14 je 4011ab <phase_6+0xb7> /*if ==, jmp 4011ab*/
53 401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx /*%ecx = n[%rsp / 4]*/
54 40119a: 83 f9 01 cmp $0x1,%ecx /*%ecx ? 1*/
55 40119d: 7e e4 jle 401183 <phase_6+0x8f> /*if (n[x] <= 1), jmp 401183*/
56 40119f: b8 01 00 00 00 mov $0x1,%eax /*%eax = 1*/
57 4011a4: ba d0 32 60 00 mov $0x6032d0,%edx /*%edx = 0x6032d0*/
58 4011a9: eb cb jmp 401176 <phase_6+0x82> /*jmp 401176*/
48行的一個(gè)地址很唐突和橙,先來(lái)看看這里面放的是什么:
# (gdb) x/24w 0x6032d0
# 0x6032d0 <node1>: 0x0000014c 0x00000001 0x006032e0 0x00000000
# 0x6032e0 <node2>: 0x000000a8 0x00000002 0x006032f0 0x00000000
# 0x6032f0 <node3>: 0x0000039c 0x00000003 0x00603300 0x00000000
# 0x603300 <node4>: 0x000002b3 0x00000004 0x00603310 0x00000000
# 0x603310 <node5>: 0x000001dd 0x00000005 0x00603320 0x00000000
# 0x603320 <node6>: 0x000001bb 0x00000006 0x00000000 0x00000000
其實(shí)題目已經(jīng)提示我們它是一個(gè)node了,它的第一個(gè)字節(jié)暫定造垛,我們不知道是什么意思魔招,它的第二個(gè)字節(jié)我們很敏感,這應(yīng)該就是我們要輸入的六個(gè)數(shù)了五辽,第三個(gè)字節(jié)是下一個(gè)節(jié)點(diǎn)的地址办斑,而下一字節(jié)為0,這讓我們意識(shí)到這應(yīng)該是一個(gè)大小為8字節(jié)的指針杆逗,保存這4字節(jié)大小的地址乡翅。那么我們可以看出它應(yīng)該是一個(gè)這樣的結(jié)構(gòu)體:
struct node{
int val;
int data(要輸入的六個(gè)數(shù)之一);
struct node* next;
};
來(lái)看看它的匯編版本的C代碼:
goto 401197;
401176:
do{
%edx = *(%edx + 8);
%eax++;
}while (n[%rsi/4] != %eax)
goto 401188;
401183:
%edx = 0x6032d0;
401188:
*(%rsp + 2 * %rsi + 0x20) = %edx;
%rsi = %rsi + 4;
if (%rsi == %rsp + 24) gooto 4011ab;
401197:
if (n[%rsi/4] <= 1) goto 401183
%eax = 1;
%edx = 0x6032d0;
goto 401176;
我們來(lái)將它翻譯成等價(jià)的C代碼:
for (int %rsi = 0; %rsi < 24; %rsi += 4){
%ecx = nums[%rsi / 4];
if (%ecx > 1){
%eax = 1;
%edx = 0x6032d0;
do{
%edx = *(%edx + 8);
%eax++;
}while (n[%rsi/4] != %eax)
}else{
%edx = 0x6032d0;
}
*(%rsp + 2 * %rsi + 0x20) = %edx;
}
此時(shí)我們可能還是不知道它做了什么,不妨來(lái)模擬一下罪郊,假設(shè)此時(shí)經(jīng)過(guò)被7減之后蠕蚜,到達(dá)第三部分的六個(gè)數(shù)為6, 5, 4, 3, 2, 1。我們必須要知道C代碼中的(%edx + 8)的含義悔橄,由于0x6032d0是一個(gè)上面分析的結(jié)構(gòu)體靶累,那么初始時(shí)%edx = 0x6032d0為結(jié)構(gòu)體的起始位置,而%edx + 8是結(jié)構(gòu)體成員next指針的地址癣疟,它保存著下一結(jié)構(gòu)體的起始地址挣柬,那么*(%edx + 8)起始就是下一結(jié)構(gòu)體的起始地址,那么經(jīng)過(guò)這一段代碼后睛挚,6使得%rdx循環(huán)五次變?yōu)閚ode6邪蛔,5使得%rdx循環(huán)4次變?yōu)閚ode5...會(huì)有:
(%rsp + 0x20) = 0x603320 <node6>
(%rsp + 0x28) = 0x603310 <node5>
(%rsp + 0x30) = 0x603300 <node4>
(%rsp + 0x38) = 0x6032f0 <node3>
(%rsp + 0x40) = 0x6032e0 <node2>
(%rsp + 0x48) = 0x6032d0 <node1>
%rsi = %rsp + 0x50
我們發(fā)現(xiàn)程序?qū)?%rsp + 0x20)到(%rsp + 0x48)分別設(shè)置成了node6、node5竞川、node4店溢、node3、node2委乌、node1床牧,這恰好與我們當(dāng)前數(shù)字6、5遭贸、4戈咳、3、2壕吹、1相吻合著蛙,這并不是偶然,這就是這段程序的作用耳贬,我們可以換個(gè)數(shù)字模擬踏堡,依然會(huì)得到同樣的結(jié)果。
繼續(xù)看看另一個(gè)小部分:
#
59 4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx /*%rbx = (%rsp + 0x20)*/
60 4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax /*%rax = %rsp + 0x28*/
61 4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi /*%rsi = %rsp + 0x50*/
62 4011ba: 48 89 d9 mov %rbx,%rcx /*%rcx = %rbx = (%rsp + 0x20)*/
63 4011bd: 48 8b 10 mov (%rax),%rdx /*%rdx = (%rax) = (%rsp + 0x28)*/
64 4011c0: 48 89 51 08 mov %rdx,0x8(%rcx) /*(%rsp + 0x28) = (%rsp + 0x28)*/
65 4011c4: 48 83 c0 08 add $0x8,%rax /*%rax= %rax + 8*/
66 4011c8: 48 39 f0 cmp %rsi,%rax /*%rax ? %rsp + 0x50*/
67 4011cb: 74 05 je 4011d2 <phase_6+0xde> /*if ==, jmp 4011d2*/
68 4011cd: 48 89 d1 mov %rdx,%rcx /*if !=, %rcx = %rdx*/
69 4011d0: eb eb jmp 4011bd <phase_6+0xc9> /*jmp 4011bd*/
70 4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx) /*(rdx+8) = 0*/
##
不做任何優(yōu)化的等價(jià)C語(yǔ)言為:
%rbx = *(%rsp + 0x20)
%rax = %rsp + 0x28
%rsi = %rsp + 0x50
%rcx = %rbx = *(%rsp + 0x20)
while (1){
%rdx = *%rax;
*(%rcx + 8) = %rdx;
rax += 8;
if (%rax == %rsp + 0x50)
break;
%rcx = %rdx;
}
*(rdx+8) = 0
讓我們以剛剛得到的結(jié)果繼續(xù)模擬一遍:
初始化:
%rbx = *(%rsp + 0x20) = 0x603320 <node6>;
%rax = %rsp + 0x28 # 計(jì)數(shù)器
%rsi = %rsp + 0x50 # 計(jì)數(shù)器 咒劲, 共循環(huán)5次
%rcx = %rbx = 0x603320 <node6>
第一次循環(huán):
%rdx = *%rax = *(%rsp + 0x28) = 0x603310 <node5>;
*(%rcx + 8) = node6->next = 0x603310 <node5>;
%rax = %rsp + 0x30;
%rcx = 0x603310 <node5>;
#第一次循環(huán)使得<node6>的next指針指向了<node5>
第一次循環(huán):
%rdx = *%rax = *(%rsp + 0x30) = 0x603300 <node4>;
*(%rcx + 8) = node4->next = 0x603300 <node4>;
%rax = %rsp + 0x38;
%rcx = 0x603300 <node4>;
#第一次循環(huán)使得<node5>的next指針指向了<node4>
如此反復(fù)循環(huán)顷蟆,共5次
很顯然,這段代碼在修正各節(jié)點(diǎn)的next指針的指向腐魂,一共執(zhí)行五次帐偎,最后一個(gè)節(jié)點(diǎn)的next指針指向在程序的最后被修改為0,那么此時(shí)蛔屹,地址(%rsp + 0x20)所存放的便是該鏈表的頭指針削樊,而后的每八個(gè)數(shù)據(jù)塊中,存放的是下一個(gè)鏈表節(jié)點(diǎn)兔毒。如果我們將斷點(diǎn)打到4011d2處漫贞,并讓程序執(zhí)行這條語(yǔ)句,我們?cè)俅螌徱?x6032d0的值:
# (gdb) x/24w 0x6032d0
# 0x6032d0 <node1>: 0x0000014c 0x00000001 0x00000000 0x00000000
# 0x6032e0 <node2>: 0x000000a8 0x00000002 0x006032d0 0x00000000
# 0x6032f0 <node3>: 0x0000039c 0x00000003 0x006032e0 0x00000000
# 0x603300 <node4>: 0x000002b3 0x00000004 0x006032f0 0x00000000
# 0x603310 <node5>: 0x000001dd 0x00000005 0x00603300 0x00000000
# 0x603320 <node6>: 0x000001bb 0x00000006 0x00603310 0x00000000
正如我們分析的育叁,<node6>成為了頭節(jié)點(diǎn)绕辖。
總結(jié)一下第三部分代碼,它將0x6032d0處的鏈表打亂擂红,以當(dāng)前達(dá)到的6位數(shù)字X1仪际、X2、...昵骤、X6為基準(zhǔn)树碱,使得鏈表的順序變?yōu)閚odeX1 -> nodeX2 -> ... -> nodeX6 -> 0x0,并將這些節(jié)點(diǎn)放在以%rsp + 0x20地址開(kāi)始的連續(xù)8字節(jié)塊的內(nèi)存中变秦。
第四部分
##第四部分
%rdx = 0x6032e0
%rbx = *(%rsp + 0x20)
71 4011d9: 00
72 4011da: bd 05 00 00 00 mov $0x5,%ebp /*%ebp = 5*/
73 4011df: 48 8b 43 08 mov 0x8(%rbx),%rax /*%rax = (%rbx + 8) = node<2>->val*/
74 4011e3: 8b 00 mov (%rax),%eax /*%eax = node<2>->val*/
75 4011e5: 39 03 cmp %eax,(%rbx) /*node<1>->val ? node<2>->val*/
76 4011e7: 7d 05 jge 4011ee <phase_6+0xfa> /*if <, bomb!*/
77 4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb>
78 4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx /*%rbx = node<2>*/
79 4011f2: 83 ed 01 sub $0x1,%ebp /*%ebp--*/
80 4011f5: 75 e8 jne 4011df <phase_6+0xeb> /*if (%ebp != 0), jmp 4011df*/
81 4011f7: 48 83 c4 50 add $0x50,%rsp
82 4011fb: 5b pop %rbx
83 4011fc: 5d pop %rbp
84 4011fd: 41 5c pop %r12
85 4011ff: 41 5d pop %r13
86 401201: 41 5e pop %r14
86 401203: c3 retq
##結(jié)束了
觀察74到80行成榜,這是一個(gè)循環(huán),它嚴(yán)格保證下一節(jié)點(diǎn)的val值小于當(dāng)前節(jié)點(diǎn)的val值蹦玫,這就意味著我們經(jīng)過(guò)第三部分得到的新鏈表的val值必須是單調(diào)遞減的赎婚,我們來(lái)看看最初的鏈表:
# 0x6032d0 <node1>: 0x0000014c(332) 0x00000001 0x006032e0 0x00000000
# 0x6032e0 <node2>: 0x000000a8(168) 0x00000002 0x006032f0 0x00000000
# 0x6032f0 <node3>: 0x0000039c(924) 0x00000003 0x00603300 0x00000000
# 0x603300 <node4>: 0x000002b3(691) 0x00000004 0x00603310 0x00000000
# 0x603310 <node5>: 0x000001dd(477) 0x00000005 0x00603320 0x00000000
# 0x603320 <node6>: 0x000001bb(443) 0x00000006 0x00000000 0x00000000
可以看出val值遞減的順序是node3 -> node4 -> node5 -> node6 -> node1 -> node2刘绣,根據(jù)我們第三部分的結(jié)論,到達(dá)第三部分的數(shù)據(jù)必須是 3 4 5 6 1 2挣输,而它又是被7減過(guò)的纬凤,那么結(jié)束了,答案是:
4 3 2 1 6 5
