了解有关 C 'bomb' 的 x86 语法
Understanding x86 syntax regarding a C 'bomb'
我得到了一个最初用 C 语言编写的可执行文件,可以玩猜谜游戏。作为玩家,我应该猜 5 个数字,如果我猜对了,炸弹就不会爆炸。但是,一旦我错过一个,我就输了,炸弹爆炸了。到目前为止,我解决这个问题的方法是反汇编可执行文件并尝试从那里读取解决方案。我知道在某个时候,strcmp 函数被调用,这意味着我的猜测与键值将存储在寄存器中之前的某处。我迷失的是在哪里可以找到它,以及如何访问存储该数字的正确字符串。
这是我得到的汇编代码:
0804856a <main>:
804856a: 55 push %ebp
804856b: 89 e5 mov %esp,%ebp
804856d: 83 e4 f0 and [=11=]xfffffff0,%esp
8048570: 57 push %edi
8048571: 56 push %esi
8048572: 53 push %ebx
8048573: 81 ec 14 02 00 00 sub [=11=]x214,%esp //prologue code ends
8048579: 8b 35 fc 98 04 08 mov 0x80498fc,%esi
804857f: 83 7d 08 02 cmpl [=11=]x2,0x8(%ebp)
8048583: 75 18 jne 804859d <main+0x33>
8048585: c7 44 24 04 fb 86 04 movl [=11=]x80486fb,0x4(%esp)
804858c: 08
804858d: 8b 45 0c mov 0xc(%ebp),%eax
8048590: 8b 40 04 mov 0x4(%eax),%eax
8048593: 89 04 24 mov %eax,(%esp)
8048596: e8 65 fe ff ff call 8048400 <fopen@plt>
804859b: 89 c6 mov %eax,%esi
804859d: bb 01 00 00 00 mov [=11=]x1,%ebx
80485a2: bf e4 98 04 08 mov [=11=]x80498e4,%edi
80485a7: 3b 35 fc 98 04 08 cmp 0x80498fc,%esi
80485ad: 75 10 jne 80485bf <main+0x55>
80485af: 89 5c 24 04 mov %ebx,0x4(%esp)
80485b3: c7 04 24 fd 86 04 08 movl [=11=]x80486fd,(%esp)
80485ba: e8 51 fe ff ff call 8048410 <printf@plt>
80485bf: 89 74 24 08 mov %esi,0x8(%esp)
80485c3: c7 44 24 04 00 02 00 movl [=11=]x200,0x4(%esp)
80485ca: 00
80485cb: 8d 44 24 10 lea 0x10(%esp),%eax
80485cf: 89 04 24 mov %eax,(%esp)
80485d2: e8 09 fe ff ff call 80483e0 <fgets@plt>
80485d7: 85 c0 test %eax,%eax
80485d9: 74 22 je 80485fd <main+0x93>
80485db: 8b 14 9f mov (%edi,%ebx,4),%edx
80485de: 89 54 24 04 mov %edx,0x4(%esp)
80485e2: 89 04 24 mov %eax,(%esp)
80485e5: e8 56 fe ff ff call 8048440 <strcmp@plt> //call to strcmp, so the two parameters (my guess vs. key) must be stored before it.
80485ea: 85 c0 test %eax,%eax
80485ec: 74 05 break<main+0x89>
80485ee: e8 4d ff ff ff call 8048540 <bomb>
80485f3: 83 c3 01 add [=11=]x1,%ebx
80485f6: 83 fb 05 cmp [=11=]x5,%ebx
80485f9: 7e ac jle 80485a7 <main+0x3d>
80485fb: eb 05 jmp 8048602 <main+0x98>
80485fd: 83 fb 05 cmp [=11=]x5,%ebx
8048600: 7e a5 jle 80485a7 <main+0x3d>
8048602: e8 19 ff ff ff call 8048520 <success>
8048607: b8 00 00 00 00 mov [=11=]x0,%eax
804860c: 81 c4 14 02 00 00 add [=11=]x214,%esp //epilogue code begins
8048612: 5b pop %ebx
8048613: 5e pop %esi
8048614: 5f pop %edi
8048615: 89 ec mov %ebp,%esp
8048617: 5d pop %ebp
8048618: c3 ret
到目前为止,在这个项目中,我一直在使用 GNU 调试器来尝试和破解程序。但是,我似乎无法理解。这是我第一次接触 x86 asm。我的理论是必须将字符串保存到 %edi/%edx/%eax 的第 80485db/de/e2 行,但我不明白这些字符串将如何存储在那里,而不是如何获取它们.我非常感谢更有经验的编码人员的任何帮助,因为这让我困惑了好几天。
您已经正确识别了 80485db 周围的关键区域。让我们从 strcmp 调用开始倒退。需要两个操作数进行比较,它们在前两行从寄存器%eax和%edx入栈。我们可以看到 %eax 是 fgets 的 return 值,这只是输入的文本。 %edx 由 mov (%edi,%ebx,4),%edx 加载,不幸的是,它依赖于另外两个寄存器。 %edi是比较简单的,它由mov [=19=]x80498e4,%edi设置为一个常量地址。 %ebx 在 804859d 处初始化为 1,然后在 80485f3 处递增,稍后与 5 进行比较。因此我们可以看到它是循环计数器,显示我们正在处理的输入。将这些放在一起意味着 %edx 是从包含预期字符串的数组中加载的。第一个字符串将位于 0x80498e4+4,因为 ebx 从 1 开始。因此,gdb 中的 x/5s *0x80498e8 应该会向您显示拆除炸弹所需的输入。
我得到了一个最初用 C 语言编写的可执行文件,可以玩猜谜游戏。作为玩家,我应该猜 5 个数字,如果我猜对了,炸弹就不会爆炸。但是,一旦我错过一个,我就输了,炸弹爆炸了。到目前为止,我解决这个问题的方法是反汇编可执行文件并尝试从那里读取解决方案。我知道在某个时候,strcmp 函数被调用,这意味着我的猜测与键值将存储在寄存器中之前的某处。我迷失的是在哪里可以找到它,以及如何访问存储该数字的正确字符串。
这是我得到的汇编代码:
0804856a <main>:
804856a: 55 push %ebp
804856b: 89 e5 mov %esp,%ebp
804856d: 83 e4 f0 and [=11=]xfffffff0,%esp
8048570: 57 push %edi
8048571: 56 push %esi
8048572: 53 push %ebx
8048573: 81 ec 14 02 00 00 sub [=11=]x214,%esp //prologue code ends
8048579: 8b 35 fc 98 04 08 mov 0x80498fc,%esi
804857f: 83 7d 08 02 cmpl [=11=]x2,0x8(%ebp)
8048583: 75 18 jne 804859d <main+0x33>
8048585: c7 44 24 04 fb 86 04 movl [=11=]x80486fb,0x4(%esp)
804858c: 08
804858d: 8b 45 0c mov 0xc(%ebp),%eax
8048590: 8b 40 04 mov 0x4(%eax),%eax
8048593: 89 04 24 mov %eax,(%esp)
8048596: e8 65 fe ff ff call 8048400 <fopen@plt>
804859b: 89 c6 mov %eax,%esi
804859d: bb 01 00 00 00 mov [=11=]x1,%ebx
80485a2: bf e4 98 04 08 mov [=11=]x80498e4,%edi
80485a7: 3b 35 fc 98 04 08 cmp 0x80498fc,%esi
80485ad: 75 10 jne 80485bf <main+0x55>
80485af: 89 5c 24 04 mov %ebx,0x4(%esp)
80485b3: c7 04 24 fd 86 04 08 movl [=11=]x80486fd,(%esp)
80485ba: e8 51 fe ff ff call 8048410 <printf@plt>
80485bf: 89 74 24 08 mov %esi,0x8(%esp)
80485c3: c7 44 24 04 00 02 00 movl [=11=]x200,0x4(%esp)
80485ca: 00
80485cb: 8d 44 24 10 lea 0x10(%esp),%eax
80485cf: 89 04 24 mov %eax,(%esp)
80485d2: e8 09 fe ff ff call 80483e0 <fgets@plt>
80485d7: 85 c0 test %eax,%eax
80485d9: 74 22 je 80485fd <main+0x93>
80485db: 8b 14 9f mov (%edi,%ebx,4),%edx
80485de: 89 54 24 04 mov %edx,0x4(%esp)
80485e2: 89 04 24 mov %eax,(%esp)
80485e5: e8 56 fe ff ff call 8048440 <strcmp@plt> //call to strcmp, so the two parameters (my guess vs. key) must be stored before it.
80485ea: 85 c0 test %eax,%eax
80485ec: 74 05 break<main+0x89>
80485ee: e8 4d ff ff ff call 8048540 <bomb>
80485f3: 83 c3 01 add [=11=]x1,%ebx
80485f6: 83 fb 05 cmp [=11=]x5,%ebx
80485f9: 7e ac jle 80485a7 <main+0x3d>
80485fb: eb 05 jmp 8048602 <main+0x98>
80485fd: 83 fb 05 cmp [=11=]x5,%ebx
8048600: 7e a5 jle 80485a7 <main+0x3d>
8048602: e8 19 ff ff ff call 8048520 <success>
8048607: b8 00 00 00 00 mov [=11=]x0,%eax
804860c: 81 c4 14 02 00 00 add [=11=]x214,%esp //epilogue code begins
8048612: 5b pop %ebx
8048613: 5e pop %esi
8048614: 5f pop %edi
8048615: 89 ec mov %ebp,%esp
8048617: 5d pop %ebp
8048618: c3 ret
到目前为止,在这个项目中,我一直在使用 GNU 调试器来尝试和破解程序。但是,我似乎无法理解。这是我第一次接触 x86 asm。我的理论是必须将字符串保存到 %edi/%edx/%eax 的第 80485db/de/e2 行,但我不明白这些字符串将如何存储在那里,而不是如何获取它们.我非常感谢更有经验的编码人员的任何帮助,因为这让我困惑了好几天。
您已经正确识别了 80485db 周围的关键区域。让我们从 strcmp 调用开始倒退。需要两个操作数进行比较,它们在前两行从寄存器%eax和%edx入栈。我们可以看到 %eax 是 fgets 的 return 值,这只是输入的文本。 %edx 由 mov (%edi,%ebx,4),%edx 加载,不幸的是,它依赖于另外两个寄存器。 %edi是比较简单的,它由mov [=19=]x80498e4,%edi设置为一个常量地址。 %ebx 在 804859d 处初始化为 1,然后在 80485f3 处递增,稍后与 5 进行比较。因此我们可以看到它是循环计数器,显示我们正在处理的输入。将这些放在一起意味着 %edx 是从包含预期字符串的数组中加载的。第一个字符串将位于 0x80498e4+4,因为 ebx 从 1 开始。因此,gdb 中的 x/5s *0x80498e8 应该会向您显示拆除炸弹所需的输入。