这时把eax,ebx+1,原始的ecx递归传入func4,返回func4(eax,ebx+1,ecx+edx)
乍一看这个函数很难知道它想用递归实现什么,但是用高级语言复现这个函数是很简单的,我们可以用python实现该函数,并逐一尝试输入a为0~14的情况。
Func4执行完毕后,返回值在eax中,随后执行最后的步骤
判断返回值和输入b是否为0x1f(31),这样我们的输入a必须让函数返回31,b必须是31.
使用python模拟该程序的运行,结果如下。
可见输入为13时,func4返回31.即a=13,b=31就是我们要的答案。
第四关答案为1331!
4.5第五关
我们已经掌握了一些套路,接下来的关卡虽然难度大了,但并没有前几关那么棘手了。
一开始还是观察输入格式,发现并没有scanf的格式化输入,可以判断本关输入是一个字符串;程序一开始有mov0x8(%ebp),%ebx
push%ebx
call8049029
cmp$0x6,%eax
jne8048dee
把我们的输入字符串放入一个string_length函数中,通过阅读这个函数发现它会返回字符串长度,保存在eax中。
然后eax与6作比较,不相等则爆炸,于是我们判断本关是要求我们输入一个6长度字符串。
紧随其后的是一段循环语句
8048da2:
b800000000mov$0x0,%eax
8048da7:
0fb61403movzbl(%ebx,%eax,1),%edx
8048dab:
83e20fand$0xf,%edx
8048dae:
0fb6928ca20408movzbl0x804a28c(%edx),%edx
8048db5:
885405edmov%dl,-0x13(%ebp,%eax,1)
8048db9:
83c001add$0x1,%eax
8048dbc:
83f806cmp$0x6,%eax
8048dbf:
75e6jne8048da7
Ebx是输入的字符串,设为str,eax应该是for循环的控制单位,也做下标使用,设为i。
程序每次循环读取str[i]的值,然后用一个and0xf取其后四位。
随后有一个基址寻址0x804a28c(%edx),不知道这块内存存储着什么,打开看一看。
是一串字符串,设它为s,那么这句就是取s[str[i]&0xf];后面还把它放入了-0x13(%ebp,%eax,1)这段地址中,如此一来我们就可以翻译这段代码为C代码:
for(inti=0;i!
=6;i++){
chartmp=s[str[i]&0xf];
arr[i]=tmp;
}
再往后就是一个函数的调用
8048dc8:
6862a20408push$0x804a262
8048dcd:
8d45edlea-0x13(%ebp),%eax
8048dd0:
50push%eax
8048dd1:
e875020000call804904b
8048dd6:
83c410add$0x10,%esp
8048dd9:
85c0test%eax,%eax
8048ddb:
7518jne8048df5
函数比较-0x13(%ebp),也就是上面的arr,和0x804a262内存处的字符串。
打开0x804a262看看里面是什么.
一个单词bruins,要让arr和它相等,就要从s中分别找到这六个字母的下标,然后用把这些下标作为输入的六个字符的后四位来形成我们需要的目的字符串。
寻找下标和转为字符串的工作可以用高级语言实现,下面是python实现过程。
于是我们就得到了一种可能的答案MFCDHG。
即第五关的答案为MFCDHG。
4.6第六关
还是从输入数据格式入手,发现和第二关的处理输入的部分相同,都是借助函数,把输入用scanf截获为六个整数型。
它们保存在-0x3c(%ebp)处的一个序列,设为arr。
紧随其后的是一个嵌套的二重循环语句
第一层循环先拿出arr[i],然后做一个判断
8048e28:
8b44b5c4mov-0x3c(%ebp,%esi,4),%eax
8048e2c:
83e801sub$0x1,%eax
8048e2f:
83f805cmp$0x5,%eax
8048e32:
770cja8048e40//爆炸
就是判断arr[i]是否小于等于6,因为使用了无符号数判断ja,还要满足arr[i]>=0。
后面有一个小循环,取当前的i并加1,然后增长到5,设这个变量为ii,则
8048e53:
3944b5c0cmp%eax,-0x40(%ebp,%esi,4)
8048e57:
75eejne8048e47
8048e59:
e821040000call804927f
判断语句让arr[ii]==arr[i-1]时触发炸弹。
把这段语句翻译为C代码如下:
for(inti=0;i!
=6;){
if(arr[i]-1>5)
Explode_bomb();
i++;
for(intii=i;ii<=5;ii++){
if(arr[ii]==arr[i-1])
Explode_bomb();
}
}
也就是arr中的元素必须是0~6的数字,而且不能重复。
下面的一段程序又是一个二重循环
8048e60:
8b5208mov0x8(%edx),%edx
8048e63:
83c001add$0x1,%eax
8048e66:
39c8cmp%ecx,%eax
8048e68:
75f6jne8048e60
8048e6a:
8954b5dcmov%edx,-0x24(%ebp,%esi,4)
8048e6e:
83c301add$0x1,%ebx
8048e71:
83fb06cmp$0x6,%ebx
8048e74:
741eje8048e94
8048e76:
89demov%ebx,%esi
8048e78:
8b4c9dc4mov-0x3c(%ebp,%ebx,4),%ecx
8048e7c:
b801000000mov$0x1,%eax
8048e81:
ba54c10408mov$0x804c154,%edx
8048e86:
83f901cmp$0x1,%ecx
8048e89:
7fd5jg8048e60
8048e8b:
ebddjmp8048e6a
这段代码是循环寻找0x804c154+arr[i]*8的地址,然后把这块地址放到-0x24(%ebp,%esi,4)中,它应该是储存指针的数组,至于这是指向什么的指针,我们可以在gdb中找到0x804c154看一看。
一个叫做node的结构体,那么数组-0x24(%ebp)就是node*nodes[]类型。
再观察结构体的内部数据,由三部分组成,value,number和next,这是我们熟悉的链表结构,C语言代码如下:
Structnode{
Intval;
Intnum;
Node*next;
}
如此一来上面的步骤就说得通了,翻译成C代码(0x804c154用L表示)
For(inti=0;i!
=6;i++){
Intc=arr[i],a=1;
Node*d=L;
If(c>1){
For(;a!
=c;a++){
d=d->next;
}
Nodes[i]=d;
}
很显然这段代码就是按照我们输入arr中的六个数,以L为链表头搜索链表的第arr[i]个结点。
并把链表结点保存在nodes[i]中。
再下面的一段程序,很显然是按照nodes的顺序重新串接链表的一系列操作。
最后一段判断程序,遍历链表并比较链表前一个元素和后一个元素
8048ebc:
be05000000mov$0x5,%esi
8048ec1:
eb08jmp8048ecb
8048ec3:
8b5b08mov0x8(%ebx),%ebx
8048ec6:
83ee01sub$0x1,%esi
8048ec9:
7410je8048edb
8048ecb:
8b4308mov0x8(%ebx),%eax
8048ece:
8b00mov(%eax),%eax
8048ed0:
3903cmp%eax,(%ebx)
8048ed2:
7defjge8048ec3
8048ed4:
e8a6030000call804927f
8048ed9:
ebe8jmp8048ec3
Eax是ebx的后一个链表结点,必须满足ebx>eax才能不触发炸弹,也就是整个链表的值必须是降序的。
这样这一关的用意就很明显了,就是要我们输入6个数字,这六个数字就是重排后链表结点的顺序;我们要保证这个顺序是降序的,就要按照合适的顺序输入123456.
排序的工作可以借助高级语言完成,python的实现如下。
即本关答案为265431
4.7隐藏关
我们惊喜地发现事情还没有结束!
在phase_6之后还有一段,它要怎么触发呢?
我们在源码中搜索它,发现它出现在下面的位置。
在函数中,而这个函数是每次拆弹成功后才被调用的。
读代码可以发现这里先调用scanf,要我们输入一段字符串;然后调用,当相等时才能调用函数。
可是每一关最后都调用这个函数,这个输入应该出现在哪里呢?
找到scanf的输入参数
查看其中的格式化字符如下:
是跟在两个整数后面的一段字符串!
要输入两个整数的是第三关和第四关,而第三关已经有了输入数量的限制,所以触发关卡是要在第四关后面多输入一串特殊字符串。
后面把输入字符串和0x804a4d0进行比较,打开0x804a4d0查看,它就是特殊字符串。
进关条件就是在第四关输入1331SecretSYSU
我们进入了关卡,下面浏览这一关的代码。
可以看见函数一开始调用了read_line,把输入放在eax中。
然后是函数的调用,strtol(%eax,NULL,10)。
也就是我们输入的字符串应该是10进制数,它会被转换成一个长整形。
紧随其后有一条判断
8048f62:
8d40fflea-0x1(%eax),%eax
8048f65:
83c410add$0x10,%esp
8048f68:
3de8030000cmp$0x3e8,%eax
8048f6d:
7735ja8048fa4
判断(%eax-1)>0x3e8时触发爆炸,限制了我们的输入范围。
之后是fun7的调用,参数分别为我们的输入和$0x804c0a0,查看内容可知为24.
执行fun7(0x804c0a0,input),后面可以看到如果返回值为3就完成本关。
查看fun7函数,通读可知是一个if-elseif-else语句。
8048efa:
8b5508mov0x8(%ebp),%edx
8048efd:
8b4d0cmov0xc(%ebp),%ecx
8048f00:
85d2test%edx,%edx
8048f02:
743cje8048f40
从栈中获取参数,设两个参数为int*p,intx
首先判断p==NULL,如果相等就ret并返回-1.
8048f40:
b8ffffffffmov$0xffffffff,%eax
8048f45:
ebccjmp8048f13
然后是分支判断语句
8048f04:
8b1amov(%edx),%ebx
8048f06:
39cbcmp%ecx,%ebx
8048f08:
7f0ejg8048f18
8048f0a:
b800000000mov$0x0,%eax
8048f0f:
39cbcmp%ecx,%ebx
8048f11:
7518jne8048f2b
8048f13:
8b5dfcmov-0x4(%ebp),%ebx
8048f16:
c9leave
8048f17:
c3ret
当*p>ecx时,返回fun7(*(a+4),b)*2
当*p==ecx时,返回0
Else,返回fun7(*(a+8),b)*2+1
用C语言描述为
intfun7(int*a,intb)
{
if(a==NULL)
return-1;
intret=0;
if(*a-b>0)
{
ret=fun7(*(a+4),b);
ret*=2
}
elseif(*a-b==0)
return0;
else
{
ret=fun7(*(a+8),b);
ret=ret*2+1;
}
returnret;
}
涉及到内存0x804c0a0连续的块中的内容,查看之。
很难一眼看出答案,所以不妨借助高级语言进行模拟。
对内存的访问可以借助高级语言的哈希表实现,比如这里我使用python的字典,它的灵活性让哈希表可以用地址的数值模拟访问。
这样借助mem函数和memory哈希表,对定义好的地址有确定的返回值,未定义的地址有内容为0.
再寻求返回值为3的情况,找到输入b=107时可以达成。
所以这隐藏关的答案也被我们找到,是107.
怎么感觉隐藏关的难度并没有phase6大…
五.实验心得
虽然说本实验中,7个关卡的难度是不断增加的,但从我个人的体验上,解决问题的难度却是不断减小的。
这应该是因为在实验过程中,我不断在学习新的调试工具,不断提升对汇编码的熟悉度,以及不断增强对逆向过程的理解。
这个实验的核心就是逆向工程,七个关卡依次是C语言中的函数调用、循环和数组、switch语句、递归、寻址方式、多重循环及结构体,和隐藏关卡的综合题。
由于我并没有任何汇编和x86基础,在实验的开始,我几乎没法理解汇编代码在做些什么。
然而借助帮助手册和搜索引擎,我逐渐开始能够理解汇编代码的含义和工作方式。
应该说“看不懂汇编代码”是实验中我面临的第
升级会员 