简介
Bomb Lab是深入理解计算机系统(CS:APP)的实验作业之一,它提供了一个“二进制炸弹”目标文件。这个程序运行时会提示用户键入6个不同的字符串。如果其中任何一个不正确,炸弹就会“爆炸”,打印错误消息并将向评分服务器上发送请求。学生必须通过反汇编和逆向工程程序来“拆除”自己独特的炸弹,以确定6个字符串应该是什么。
真实实验时答案是不一样的,官方网站提供了一个禁用了评分服务器的公开版本Linux / x86-64二进制炸弹程序,本文基于该Bomb文件进行破解。
章节
全部破解过程将分几篇文章:
- 简介与准备
- [pharse1-3]
- [pharse4-5]
- [pharse6]
破解前准备
文件结构
程序下下来是一个tar包,里面包括bomb目标文件、一个简单描述流程的bomb.c代码、一个Readme文档。
工具准备
官方文档里推荐了如下工具:
- gdb : GNU Debugger,用于调试代码,设置断点,查看各寄存器数值
- objdump -t : 打印bomb的符号表,符号表中包括所有函数和全局变量的名字
- objdump -d : 对代码进行反编译,但需要注意系统函数的调用中
sscanf
这种函数会被显示为<_init+0x1a0>
- strings : 显示所有bomb中的可打印字符
同时,除了日常查看代码中使用到的文本编辑器VS Code之外,还有一个大杀器——IDA Pro,这个专门用于逆向工程的工具,直接可以生成程序运行框图。
总体程序结构
结构分析
在Bomb.c中可以看到,程序最开始处理了输入参数输入文件名的情况,此后用initialize_bomb()
函数做了一些操作,接下来就是读入每行输入phase_n(input)
判断是否符合需要的输入,完成后则通过phase_defused()
函数解除该问题的“引信”,总共进行6次该流程。
总体框图如下:
通过反编译的源代码,我们可以看到每个phase_n(input)
的函数,里面结构基本都是对输入做各种操作并判断比较的流程。以最简单的phase_1
为例:
1 | 0000000000400ee0 <phase_1>: |
explode_bomb
函数分析
分析可以发现,每个阶段炸弹爆炸的关键流程都在explode_bomb
里,下载版本explode_bomb
很简单:
1 | 000000000040143a <explode_bomb>: |
除了打印两行字就没了,不过根据程序里遗留的driver_post
函数里的submitr
函数等,里面有各种给changeme.ics.cs.cmu.edu
发送GET请求的函数,应该是向服务器发送相关操作的代码。
initialize_bomb
在弄啥呢
程序开始有一个initialize_bomb()
函数,Mr.Evil还贱贱地说:“/* Do all sorts of secret stuff that makes the bomb harder to defuse. */”
通过IDA可以看到里面是如下结构:
里面
1 | 4013b0: e8 db f7 ff ff callq 400b90 <signal@plt> |
调用了signal的系统函数,注册了一个handler,转换为C语言应该是如下代码:
1 | initialize_bomb() { |
signal系统函数定义中,2对应SIGINT,(Signal Interrupt) 中断信号,如 ctrl-C。该函数主要用于用户ctrl-C退出时,执行sig_handler
函数
函数用sleep让退出速度变慢。
破解前处理
上面分析了explode_bomb
和initialize_bomb
的流程,在破解之前需要对这些函数做些处理。为了屏蔽掉相关函数,需要把explode_bomb
和initialize_bomb
的关键调用去掉,先把这个炸弹变得“哑火”。
这里用到的是书中提到的”空操作雪橇(nop sled)”,在对应位置把callq
替换为nop
指令,直接跳过callq
相关参数的操作。
具体的修改方法可以是用vim
打开可执行文件,键入:%!xxd
切换到十六进制查看编辑模式,修改相应的字节后输入:%!xxd -r
转换为正常显示模式后保存即可。
1 | 00000000004013a2 <initialize_bomb>: |
不删除相关语句,主要是基于jmp
跳转会跟一个相对位置,直接删除很可能就跳飞了。
解除了这几个函数之后,接下来就要进入正式破解阶段了
To be continue…