[深入理解计算机系统(CS:APP)] Bomb Lab 破解 - 1

发表于 | 分类于 | |

简介

Bomb Lab是深入理解计算机系统(CS:APP)的实验作业之一,它提供了一个“二进制炸弹”目标文件。这个程序运行时会提示用户键入6个不同的字符串。如果其中任何一个不正确,炸弹就会“爆炸”,打印错误消息并将向评分服务器上发送请求。学生必须通过反汇编和逆向工程程序来“拆除”自己独特的炸弹,以确定6个字符串应该是什么。

真实实验时答案是不一样的,官方网站提供了一个禁用了评分服务器的公开版本Linux / x86-64二进制炸弹程序,本文基于该Bomb文件进行破解。

章节

全部破解过程将分几篇文章:

破解前准备

文件结构

程序下下来是一个tar包,里面包括bomb目标文件、一个简单描述流程的bomb.c代码、一个Readme文档。

工具准备

官方文档里推荐了如下工具:

  • gdb : GNU Debugger,用于调试代码,设置断点,查看各寄存器数值
  • objdump -t : 打印bomb的符号表,符号表中包括所有函数和全局变量的名字
  • objdump -d : 对代码进行反编译,但需要注意系统函数的调用中sscanf这种函数会被显示为<_init+0x1a0>
  • strings : 显示所有bomb中的可打印字符

同时,除了日常查看代码中使用到的文本编辑器VS Code之外,还有一个大杀器——IDA Pro,这个专门用于逆向工程的工具,直接可以生成程序运行框图。

总体程序结构

结构分析

在Bomb.c中可以看到,程序最开始处理了输入参数输入文件名的情况,此后用initialize_bomb()函数做了一些操作,接下来就是读入每行输入phase_n(input)判断是否符合需要的输入,完成后则通过phase_defused()函数解除该问题的“引信”,总共进行6次该流程。

总体框图如下:
总体框图
数据段

通过反编译的源代码,我们可以看到每个phase_n(input)的函数,里面结构基本都是对输入做各种操作并判断比较的流程。以最简单的phase_1为例:

1
2
3
4
5
6
7
8
9
0000000000400ee0 <phase_1>:
  400ee0:	48 83 ec 08          	sub    $0x8,%rsp
  400ee4:	be 00 24 40 00       	mov    $0x402400,%esi
  400ee9:	e8 4a 04 00 00       	callq  401338 <strings_not_equal>
  400eee:	85 c0                	test   %eax,%eax
  400ef0:	74 05                	je     400ef7 <phase_1+0x17>
  400ef2:	e8 43 05 00 00       	callq  40143a <explode_bomb>
  400ef7:	48 83 c4 08          	add    $0x8,%rsp
  400efb:	c3                   	retq

phase1框图

explode_bomb函数分析

分析可以发现,每个阶段炸弹爆炸的关键流程都在explode_bomb里,下载版本explode_bomb很简单:

1
2
3
4
5
6
7
8
000000000040143a <explode_bomb>:
  40143a:	48 83 ec 08          	sub    $0x8,%rsp
  40143e:	bf a3 25 40 00       	mov    $0x4025a3,%edi
  401443:	e8 c8 f6 ff ff       	callq  400b10 <puts@plt>
  401448:	bf ac 25 40 00       	mov    $0x4025ac,%edi
  40144d:	e8 be f6 ff ff       	callq  400b10 <puts@plt>
  401452:	bf 08 00 00 00       	mov    $0x8,%edi
  401457:	e8 c4 f7 ff ff       	callq  400c20 <exit@plt>

explode

除了打印两行字就没了,不过根据程序里遗留的driver_post函数里的submitr函数等,里面有各种给changeme.ics.cs.cmu.edu发送GET请求的函数,应该是向服务器发送相关操作的代码。

initialize_bomb在弄啥呢

程序开始有一个initialize_bomb()函数,Mr.Evil还贱贱地说:“/* Do all sorts of secret stuff that makes the bomb harder to defuse. */”

通过IDA可以看到里面是如下结构:
init

里面

1
4013b0:	e8 db f7 ff ff       	callq  400b90 <signal@plt>

调用了signal的系统函数,注册了一个handler,转换为C语言应该是如下代码:

1
2
3
initialize_bomb() {
  signal(2, sig_handler)
}

signal系统函数定义中,2对应SIGINT,(Signal Interrupt) 中断信号,如 ctrl-C。该函数主要用于用户ctrl-C退出时,执行sig_handler函数

sig

函数用sleep让退出速度变慢。

破解前处理

上面分析了explode_bombinitialize_bomb的流程,在破解之前需要对这些函数做些处理。为了屏蔽掉相关函数,需要把explode_bombinitialize_bomb的关键调用去掉,先把这个炸弹变得“哑火”。

这里用到的是书中提到的”空操作雪橇(nop sled)”,在对应位置把callq替换为nop指令,直接跳过callq相关参数的操作。

具体的修改方法可以是用vim打开可执行文件,键入:%!xxd切换到十六进制查看编辑模式,修改相应的字节后输入:%!xxd -r转换为正常显示模式后保存即可。

1
2
3
4
5
6
7
8
9
10
11
00000000004013a2 <initialize_bomb>:
  4013a2:	48 83 ec 08          	sub    $0x8,%rsp
  4013a6:	be a0 12 40 00       	mov    $0x4012a0,%esi
  4013ab:	bf 02 00 00 00       	mov    $0x2,%edi
  4013b0:	90                  	nop
  4013b1:	90                  	nop
  4013b2:	90                  	nop
  4013b3:	90                  	nop
  4013b4:	90                  	nop
  4013b5:	48 83 c4 08          	add    $0x8,%rsp
  4013b9:	c3                   	retq

不删除相关语句,主要是基于jmp跳转会跟一个相对位置,直接删除很可能就跳飞了。

解除了这几个函数之后,接下来就要进入正式破解阶段了

To be continue…