2. 程式人生 > >BombLab Phase-1 & Phase-2

BombLab Phase-1 & Phase-2

阿新 發佈:2018-12-17

Phase_1

  1. 觀察原始碼,看一下輸入有哪些

通過觀察,我們知道每個phase前面都有一個輸入,並且為string型別,我們會將這個string傳入phase_1中,所以棧幀中phase_1幀前面應該只有一個引數。

  1. 反彙編phase_1函式。

我們可以看到,在棧頂的頂8個位元組儲存了兩個東西,第一個是將常量 $0x804a15c存入了(esp)+4的位置,第二個是將ebp+8存入了(esp),這第二個就是我們傳入phase_1的引數,可以看出應該就是我們輸入的字串的地址,那麼可以猜測第一個就是被比較的字串的地址了。

  1. 畫出phase_1的棧幀結構圖

  1. 分析strings_not_equeal作用 

從名字上來看,我們猜得到這個函式是對兩個字串比較是否相等,從呼叫時機來看——在呼叫前將字串地址傳入了棧頂,更加印證我們的猜想,當然這些都是猜測,我們還是具體來看下反彙編程式碼來分析一下。

檢視strings_not_equeal函式彙編程式碼

我們可以看到,上面兩個箭頭分別跳到如下兩個箭頭的位置:

當二者長度不一致,eax的值就為1,當二者一致時,eax返回0.所以這個函式就是用來比較兩個字串是否相等的。

我們看到phase_1裡面呼叫了strings_not_equal函式,那麼我們就來畫一下這個函式的棧幀圖:

到這兒,我們就明白,我們輸入的字元最後是要和0x804a15c地址的字串做比較,既然要求相等,那麼我們檢視這個記憶體裡存放的字串:

我們看到這句話,那當我們輸入進去測試的時候:

    Ok,phase_1就搞定了!

Phase_2

  1. 同樣,我們先對Phase_2進行反彙編測試看看結果:

       觀察phase_2,我們觀察到裡面有兩個函式呼叫,分別是read_six_numbers和explode_bomb函式,此外,觀察到phase_2裡面還有一個迴圈:

  1. 我們可以畫出phase_2的棧幀如下所示:

  1. 看完了phase_2,我們再來研究一下read_six_numbers函式

我們觀察到read_six_numbers的功能就是讀取六個數字然後存到對應的記憶體上,然後我們觀察到在這個函式中,edx暫存器儲存的都是phase_2中儲存的六個書數的地址,這樣scanf讀取的六個數就能存在phase_2的六個記憶體位置上。

對於read_six_numbers的棧幀圖如下;

  1. 瞭解了read_six_numbers之後,我們再回到phase_2的迴圈:

我們可以看到再迴圈之前有兩個暫存器初始化,一個是ebx,還有一個是esi,

Ebx很簡單,我們可以看到,ebx是一個用來記錄迴圈位置的變數,而esi會和ebx 比較,所以esi是一個用來判斷截止條件的。我們有看到這個:

這個實現了前兩個數的相加,這兩個數的位置是根據ebx確定的,所以這個迴圈的意義在於不斷地累加前面兩個值,也就是一個斐波那契地序列計算過程。

  1. 最後地分析:

如果前兩個我們輸入地值不是 0和1,那麼炸彈爆炸。所以我們前面輸入的值必須是0 和1,並且還要滿足斐波那契序列,如果你該數不等於前兩個數相加,則爆炸:

遇到的問題及解決方法

  1. 關於cmp指令和test指令區別

我們發現彙編程式碼在進行指令跳轉的前一步,通常會有這兩步,那麼同樣都是比較指令,二者的具體區別又是什麼呢?

       檢視教材和網上部落格,大致異同點可以整理如下:

              :

cmp 是做加減運算,test是做邏輯與運算。

             

cmp和test運算的結果都不會傳回影響目的運算元,而都會去改變標誌位。

              二者用法

Cmp用來比較有符號數和無符號數的大小,而test用法檢測該數某些位是否存在1,如檢查AL中的位6和位2是否有一位為1,可以用如下指令:test AL,01000100b,如果這兩個位全為0.則ZF的值為1,否則清0,那麼根據標誌位設定的跳轉就只能為jz或jnz

  1. lea指令和mov指令的差別

在剛學這兩個指令時,老師說lea指令和mov指令都可以實現資料傳輸,但是沒有說二者的具體使用區別,一直以來都是處於半知半解的狀態,今天就二者做了下總結。

mov的用法:

mov指令又稱資料傳輸指令,它的作用是進行除記憶體與記憶體之間的其他形式的資料傳輸。

lea的用法:

load effective address,又稱載入有效地址指令,直接將得到的數賦值,而不會去定址。

比如:

lea eax,[ebx+8]---  ebx+8 的值給eax.   等價於   mov  eax,ebx+8

mov eax,[ebx+8] --- 載入記憶體中地址為ebx+8 處的資料

lea eax,ebx+8 ------ 載入記憶體中地址為ebx+8 處的資料

  1. 關於字串儲存方式的疑惑

我們看到關於在傳遞字串時,我們傳遞的是字串的地址,而不是具體內容,既然我們是在棧中申明,為什麼不是將字串存在棧中呢?

後來,我們查詢了記憶體的分配機制:

附:

從一個直觀的角度理解,字串型別不是作為C中的基本型別,在C中並沒有規定string型別的具體長度,所以編譯器在編譯時並不能確定該為它分配多大的棧記憶體,而像int,char他們都有規定的記憶體長度,所以當作為區域性變數時可以存放在棧記憶體中。

綜上,我們就可理解為什麼傳遞字串時是傳遞它的地址而不是它的內容了。

相關推薦

BombLab Phase-1 & Phase-2

Phase_1 觀察原始碼,看一下輸入有哪些 通過觀察,我們知道每個phase前面都有一個輸入,並且為string型別,我們會將這個string傳入phase_1中,所以棧幀中phase_1幀前面應該只有一個引數。 反彙編phase_1函式。 我們可以看到

BombLab Phase-3 & Phase-4 &Phase-5

Phase_3 關於風格改變:因為一段段分析程式碼可以邏輯清晰有序一點,那麼就摒棄了以前先上彙編程式碼再畫棧幀圖的方式,我們直接給出函式呼叫的所有棧幀,這樣讀者有個大概印象後再看後面的彙編程式碼會邏輯清晰一點。 Phase_3棧幀圖 Scanf棧幀 因為s

COOX培訓材料 — PMT(1.Phase

Phase(工序模型) 1. Unit:Tank (1)建立工序模型:LiquidDosing(液體給料工序)。 新增到裝置Tank中: 2. Unit:Silo (1)建立工序模型:SolidDosing(固體給料工序)。 新增到裝置Silo中: 3.

Troubleshoot VPN Tunnel Phase 1 (IKE) Failures

Amazon Web Services is Hiring. Amazon Web Services (AWS) is a dynamic, growing business unit within Amazon.com. We are currently hiring So

阿裏雲Tengine和Openresty/1.11.2.3 數據對比

image rest bsp 9.png swift val max 文件 -a HLS播放延遲測試:阿裏雲48s ,openresy 31s Cache-Control: max-age=300 NGINX下配置CACHE-CONTROL Content-L

起步:Proteus 8 仿真 Arduino 1.8.2

準備 sel 9.png tieba nbsp 自己 aid 新版 添加 一、環境準備 1、從Arduino官網或中文社區下載並安裝 Arduino IDE 當前最新版1.8.2:http://www.arduino.cn/thread-5838-1-1.html

【貪心】【multiset】Tinkoff Challenge - Final Round (Codeforces Round #414, rated, Div. 1 + Div. 2) C. Naming Company

nal head 1+n final ase algorithm erase 集合 clu 考慮兩個人,先把各自的集合排個序,丟掉一半,因為比較劣的那一半一定用不到。 然後貪心地放,只有兩種決策,要麽把一個最優的放在開頭,要麽把一個最劣的放在結尾。 如果我的最優的比對方所有

Oracle 12.1.0.2 對JSON的支持

使用 lin 1.5 text lob mysq 索引 acl var Oracle 12.1.0.2版本有一個新功能就是可以存儲、查詢、索引JSON數據格式,而且也實現了使用SQL語句來解析JSON,非常方便。JSON數據在數據庫中以VARCHAR2, CLOB或者BLO

avro 1.8.2 (js)

score record name str mage readme.md 目錄 提示 清華大學 5月15日發布的avro 1.8.2 已經包含了js版代碼。 清華大學鏡像地址: https://mirrors.tuna.tsinghua.edu.cn/apache/avro

jQuery treeTable v 1.4.2

ica select angularjs ron tree repeat style cond 4.2 angularJs版本: 如圖所示即為treeTable的效果,三個紅色框每個微一級 外科>骨科>骨科一病區 html: <table class=

Playrix Codescapes Cup (Codeforces Round #413, rated, Div. 1 + Div. 2)B. T-shirt buying

character break empty not integer contain strong accept space 傳送門 Description A new pack of n t-shirts came to a shop. Each of the t-

《挑戰程序競賽》1.6.2 Ants poj1852

通過 最短時間 程序競賽 要求 span str 速度 計算 ont 題意:n只螞蟻以每秒1cm的速度在長為Lcm的竿子上爬行。當螞蟻爬到竿子的端點時就會掉落。由於竿子太細,兩只螞蟻相遇時,它們不能交錯通過,只能各自反向爬回去。對於每只螞蟻,我們知道它距離竿子左端的距離xi

【轉】Poco 1.4.2 HTTPClientSession/HTTPRequest 使用使用代理(proxy)需要註意的一點

方法 xxx and aid csdn 代理 ref cpp logs Poco 1.4.2 HTTPClientSession/HTTPClientSession 在使用代理的時候,request的URI不能包含協議和主機。否則會出錯。 不使用代理的時候,以下代碼能正

1.getelenmentbyid 2.換class類 css3動畫控制

doctype height body sna pause anim over parent -c 1.對於border-color這樣的樣式,document.getElementById(‘demo‘).style.borderColor=‘red‘;帶橫線的連起來去掉

Babel中的stage-0,stage-1,stage-2以及stage-3

.get else hub 到你 resolv cti component else if 便在 大家知道,將ES6代碼編譯為ES5時,我們常用到Babel這個編譯工具。大家參考一些網上的文章或者官方文檔,裏面常會建議大家在.babelrc中輸入如下代碼: {

1!+2!+3!+...+n!=?

而且 可見 階乘 得到 ech 後來 開始 java 運行 編寫一個Java程序輸出1!+2!+3!+……+n!的和? public class GetSumMethod { /** * 利用遞歸寫的一個階乘運算,發

kubernetes 1.6.2部署

kubenetes docker 部署環境服務器:騰訊雲操作系統版本:centos 7.21、修改系統配置:[[email protected]/* */~]# cat /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-ip6tables=

Shell中的>/dev/null 2>&12>&1 >/dev/null 與&>/dev/null 的區別

文件描述符 art 應該 tar 輸入 情況 style 鍵盤 blog 默認情況下,總是有三個文件處於打開狀態,標準輸入(鍵盤輸入)、標準輸出(輸出到屏幕)、標準錯誤(也是輸出到屏幕),它們分別對應的文件描述符是0,1,2 。那麽我們來看看下面的幾種重定向方法的區別: &

1.4.2 暫停與恢復Activity

devel 過程 信號 fun ide 然而 -a 動作 好的 在正常使用app時,前端的activity有時會被其他可見的組件阻塞(obstructed),從而導致當前的activity進入Pause狀態。例如,當打開一個半透明的activity時(例如以對話框的形式),

筆記 屬性 權限 用戶 臨時權限(猿課精講1.6-2.0)

linux1.6 文件或目錄屬性信息ls -l 看目錄的詳細信息- 普通文件 d 目錄 s 進程間通信 c 字符設備 b 塊設備 l 軟連接(快捷方式) p管道文件所屬主 所屬組 其他人 權限rwxls -li inode號ls -la 111 有兩個子目錄 ls -lh 根據文件大小更改單位1.7 chmo