《深入理解計算機系統》--BombLab學習筆記

前言

在皓哥的鼓勵下，磕磕絆絆斷斷續續終于做完了BombLab，這個實驗確實很有趣而且對我幫助很大，做完也非常的有成就感（HGNB）👏，因此決定寫一篇博客記錄一下學習的程序

首先作幾點說明
1、由于每個學生的Bomb是隨機的，而我是從網上其他人的github下載的lab，所以有可能你的Bomb與我并不一樣，導致每個階段的答案可能是不一樣的，但是方法應該還是可以參考的
2、這個實驗對提升匯編語言的理解能力以及自己除錯代碼的能力真的有很大幫助，所以強烈建議你自己獨立思考并完成這個實驗，即使多花些時間我覺得也是值得的

常用gdb命令

常用的命令可以在CSAPP書上的3.10.2節查閱，也可以在課程的pdf上找到，下面是我在拆彈程序中用的較多的命令：（首先在終端輸入gdb bomb啟動gdb）

• run: 運行程式，較為有用的方式是帶引數啟動，例如run solutions.txt，其中solutions.txt存有你已經完成的階段的答案，這樣可以避免在攻略后階段時每次都要輸入前面階段的答案，另外如果程式已經啟動，gdb會提示你是否要從頭開始運行，可以用這個方法避免我們被炸死（雖然我們不會因此扣分，但緊張感還是要有的 😃）
• b: 設定斷點，常用形式是b functionName和b *0xffffffff，分別用來在函式入口處設定斷點和在某個地址設定斷點，這條命令執行后會提示breakpoint x at xxxxxxx，然后可以用delete x來洗掉該斷點，disable/enable x來禁用和啟用斷點，直接輸入delete可以一次性清除所有斷點
• continue: （在程式停下時）繼續程式
• disas: disas functionName查看某個函式的匯編代碼
• stepi/stepi n: 單步運行1步/n步（會進入函式）
• nexti/nexti n: 單步運行1步/n步（不會進入函式）
• info registers: 顯示所有暫存器的值
• print: 列印資訊，print $rdx列印出rdx暫存器的值，print *(int*)0xffffffff列印出0xffffffff處的整數值
• x: 檢查資訊，x /s 0xffffffff檢查0xffffffff處的位元組，x /20d 0xffffffff檢查0xffffffff開始的20個4位元組并用十進制輸出

在開始拆彈前，我們可以先查看函式的源代碼bomb.c

可以看到這個程式一共有六個階段，每一階段會讀取我們的輸入并作為引數傳遞給當前階段的函式，因此我們可以分別查看phase_1~phase_6的匯編代碼來推測每一階段的答案

Phase 1

函式phase_1的匯編代碼如下：

可以看出，它將%esi置為0x402400然后呼叫了strings_not_equal函式，并比較結果，如果為0則回傳，否則引爆，那么很自然的推測我們只需要輸入這個炸彈相同的字串即可，這里使用x /s命令有奇效：

所以第一階段直接輸入這個句子即可

Phase 2

函式phase_2的匯編代碼如下：

觀察這個函式，我們會發現第九行呼叫了一個函式read_six_numbers，那么可以推測這一階段需要輸入6個數字，我們可以先隨便輸入6個數字試試（我輸入了1 2 3 4 5 6）然后將程式運行到0x0000000000400f0a這一行，我們看到第14行拿rsp所保存的地址對應的數與1進行了比較，因此我們可以先查看一下這里放的是些什么：

可以看到，從堆疊指標地址往上連續存放了我們輸入的六個數的地址（這個發現會多次用到），因此(%rsp)對應的就是輸入的第一個數，由此斷定第一個數必須是1，否則就會跳轉到引爆炸彈的函式，

確定了第一個數再繼續看后面的部分，跳轉到52行之后程式將rbx置為rsp+4的地址，rsp置為rsp+24的地址，正好是第二個數的起始地址到第六個數的地址的最后，可以猜測這里應該是在為回圈做準備

接著程式跳轉到27行，將eax置為-0x4(rbx)，也就是第一個數，下一個指令將eax的值翻倍，再下面一條指令將eax的值與rbx對應的數進行了比較，如果不相等則引爆炸彈

到這里已經大概可以猜到，這六個數應該是以1為首項，2為公比的等比數列，所以輸入1 2 4 8 16 32，第二階段完成

Phase 3

函式phase_3的匯編代碼如下：

第三階段的函式看起來有點長，我們可以慢慢分析一下，首先看到第24行呼叫了sscanf來讀取輸入，然后判斷eax是否大于1，如果不是則引爆，我們可以根據這個確定應該輸入多少個字符，先輸入1個數字然后運行到第29行查看一下：

可以看到輸入一個數的時候eax的值為1，不滿足要求，那么我們可以推測這一階段應該是要輸入兩個數字

再看后面，首先比較了0x8(%rsp)與7的大小，如果超過7會直接引爆，然后程式跳轉到了一個不知名的地方，并且以輸入的第一個數*8為索引的偏移量，而且查看下面的代碼我們會發現有很多行對eax的賦值陳述句以及一個跳轉陳述句，結合上面所有的線索可以聯想到這一大段應該是一個switch陳述句，會根據不同的分支給eax賦不同的值，最后都會走到拿它跟0xc(%rsp)比較，

根據上一題的經驗，這個地方的值應該是我們輸入的第二個數，所以這一階段，我們只需要任選某一個分支，找到這個分支對應的值就行了，比如輸入1之后，我們逐步單步運行，會發現程式走到了0x0000000000400fb9 <+118>: mov $0x137,%eax這一行，那么第二個數就應該輸入0x137也就是311，當然用別的分支也是可以的

Phase 4

函式phase_4的匯編代碼如下：

這一階段我們還是先來分析輸入是什么格式，根據上一階段的經驗，這里我們從第29行就能看出，輸入應該也是兩個字符，而且如果第一個數大于14就會直接引爆，

然后后面呼叫了一個叫func4的函式，接著測驗eax是否為0，如果不為0則引爆，所以我們的目標就是要讓func4得到的結果是0，這里可以試著查看func4的匯編代碼，并分析怎樣的輸入可以得到0，不過我并沒有看懂它的邏輯，所以我是直接通過一個個嘗試發現，輸入為7、3、0的時候回傳結果為0，最后還有個比較0xc(%rsp)是否等于0的陳述句，所以第二個輸入為0即可

于是這一階段也解決了，感興趣的朋友可以試著分析一下func4的映射關系究竟是什么樣的

Phase 5

函式phase_5的匯編代碼如下：

這一階段的函式也比較長，我們還是一步步分析，首先從29行以及呼叫了string_length可以知道，我們需要輸入的字符長度應該是6，接下來的41到70行進行了回圈，把我們輸入的字串作為索引，從0x4024b0這個地址取了一些字符存放到了rsp+16到rsp+22的位置，然后又呼叫了strings_not_equal比較兩個字串，所以這里我們先看看0x4024b0放的是啥：

可以看到是Dr.Devil的一句垃圾話
然后再看看另一個字串是什么：

所以我們需要用上面那個很長的字串拼出下面這個單詞，很容易可以知道9對應f，567對應ers，但是l和y都不能用數字得到，所以我是將小寫字母一個個輸入看看會得到什么來求出ly對應的源，這里我的答案是9on567，應該也是不止一種答案

Phase 6

終于到了最后一個階段，而phase_6的代碼也沒有讓我們失望：

——長度甚至超出了一頁，這一階段也是最為困難和花時間的一個階段，我們可以根據各種jmp的回圈，將函式大致分成幾個部分，然后逐個分析

第一部分

首先很明顯，第18行告訴我們輸入應該是6個數字，根據前面的經驗，我們輸入的6個數字應該位于rsp ~ rsp+24這塊區域內

然后通過觀察，我們可以發現，32行到93行應該是一個回圈，這個回圈讓r13d每次加4從而用eax遍歷輸入的6個數，而且對每個數字減1之后和5進行了比較，如果大于5就會引爆，所以這6個數都要小于等于6，r12d作為索引每次加一，到6跳出回圈

接下來從62行到87行可以看出應該是更深層次的一個回圈，這里用ebx對當前元素后面的元素進行了遍歷，并且跟當前數進行了比較，如果相等則引爆炸彈，也就是說每個數后面的數都不等于這個數

所以這幾行總結一下就是：輸入的6個數≤6且互不相等，即它們是1到6的一個排列

接著100到121行又是一個回圈，這幾行比較容易，可以看出是用7-x替換了x，到這里可以看作是第一個部分，也就是對輸入的限制和處理

第二部分

第二部分大體上還是一個回圈，依然是用ecx去遍歷了堆疊上的6個數，rsi每次增加4，如果到了24則跳出回圈，這個回圈做的事情就是在rsp+32開始每8個位元組存一個地址，我們可以重點關注一下這行指令：

   0x0000000000401176 <+130>:	mov    0x8(%rdx),%rdx

它取了rdx+8這塊記憶體，又賦給了rdx，是不是覺得很像鏈表的node = node->next？實際上我們可以查看一下這塊記憶體來驗證一下：

注意到，0x6032d8存放的數值0xe0 0x32 0x60正好就是第三行的地址0x6032e0，因此這塊記憶體其實就是一個鏈表的結構！前4個位元組是一個整數，下面4個位元組可能是id，最后8個位元組是下一個節點的地址，有了這個發現之后，我們剩下需要做的就是分析代碼存放地址的規律

從163 166行可以知道，這段程式先將當前值v與1進行比較，如果是1就直接將起始地址0x6032d0放到rsp+32開始偏移量為索引*8的地址去（143，148行，索引表示的是當前在處理第幾個數字），否則就找鏈表的下一個，一直到第v個節點（130~137行），

總結一下：假設當前的6個數分別為x1, x2, x3, x4, x5, x6，那么rsp+32開始的這段空間分別存放第x1個節點的地址，第x2個節點的地址……第x6個節點的地址，到這里可以看作第二個部分，也就是節點地址的存放

第三部分

最后一部分就是從183行開始到程式的結束，也就是我們需要滿足的條件了，不難看出rax和rsi被用作了回圈的起始和終止條件，183到212行是一個回圈，用rax來遍歷后面5個地址：

1. rcx初始為rsp+32所指的節點，rax初始為rsp+40
2. rdx=rax所指的節點
3. rcx的next=rdx
4. rax+=8
5. rcx=rdx

總結一下就是：按照6個地址的順序依次給鏈表排了序，也就是說rsp+32所指向的節點將成為頭節點，它的下一個節點是rsp+40所指向的節點，以此類推

230到257行是最后一個回圈，依次將后一個節點的數值跟當前節點的數值進行了比較，如果比當前節點大就引爆炸彈，因此我們構造好的鏈表應該是降序排列，根據之前檢查的節點的值，它們的大小順序應該是：3(0x39c)->4(0x2b3)->5(0x1dd)->6(0x1bb)->1(0x14c)->2(0xa8)，反推我們的x1~x6分別為：3，4，5，6，1，2，所以我們最初的輸入應該是7減去它們，也就是4，3，2，1，6，5，至此，最后一階段也成功解決！

總結

這次實驗累積的經驗如下（不一定正確，歡迎探討）

1. 看匯編代碼時，可以根據回圈、函式呼叫等等把整體分成一個個小的部分再去分析
2. 有的地方看不懂可以先不去探究細節，把某些代碼看作一個整體再去思考
3. 沒有頭緒時多試試各種輸入
4. 多使用print和x命令查看記憶體的狀態

附上最終答案和運行截圖：