本文首發(fā)于我的博客

Bomb Lab

實(shí)驗(yàn)代碼見GitHub

簡介

BombLab是CS:APP中對應(yīng)第三章內(nèi)容：程序的機(jī)器級表示的lab。主要內(nèi)容為提供一個(gè)二進(jìn)制對象文件bomb，當(dāng)運(yùn)行時(shí)，它會要求用戶輸入六個(gè)字符串，如果其中的任何一個(gè)不正確，炸彈就會爆炸，輸出一行錯(cuò)誤信息并向計(jì)分服務(wù)器提交（自學(xué)所用的材料不會向服務(wù)器提交信息，但這不代表我們可以隨意讓炸彈爆炸），學(xué)生必須通過反匯編和逆向工程來找到六個(gè)正確的字符串來解除自己的炸彈（理論上每個(gè)人的炸彈答案都不同，但自學(xué)材料的答案都是一樣的，本文針對的是自學(xué)材料）。

所用工具

objdump-用于反匯編二進(jìn)制對象文件

VS Code-用于查看反匯編后的結(jié)果與文本文件的編寫

gdb-用于運(yùn)行時(shí)單步調(diào)試與查看運(yùn)行時(shí)內(nèi)存與寄存器信息

解題過程

前期

由于之前沒有接觸過類似的逆向工程問題，拿到問題以后第一時(shí)間很難馬上開始解決。所以先查看我們能看到的文件信息。

目錄中提供了一個(gè)bomb.c文件，文件內(nèi)容十分簡單，有一份非常有趣的LISENCE:

/***************************************************************************

* Dr. Evil's Insidious Bomb, Version 1.1

* Copyright 2011, Dr. Evil Incorporated. All rights reserved.

* LICENSE:

* Dr. Evil Incorporated (the PERPETRATOR) hereby grants you (the

* VICTIM) explicit permission to use this bomb (the BOMB). This is a

* time limited license, which expires on the death of the VICTIM.

* The PERPETRATOR takes no responsibility for damage, frustration,

* insanity, bug-eyes, carpal-tunnel syndrome, loss of sleep, or other

* harm to the VICTIM. Unless the PERPETRATOR wants to take credit,

* that is. The VICTIM may not distribute this bomb source code to

* any enemies of the PERPETRATOR. No VICTIM may debug,

* reverse-engineer, run "strings" on, decompile, decrypt, or use any

* other technique to gain knowledge of and defuse the BOMB. BOMB

* proof clothing may not be worn when handling this program. The

* PERPETRATOR will not apologize for the PERPETRATOR's poor sense of

* humor. This license is null and void where the BOMB is prohibited

* by law.

***************************************************************************/

接下來的部分就是main函數(shù)，從主函數(shù)中我們可以看到整個(gè)程序的結(jié)構(gòu)與輸入方式：可以從標(biāo)準(zhǔn)輸入或文件中讀取，一行作為一題的解，解出一個(gè)問題以后可以進(jìn)入下一個(gè)問題，注意到返回前的一段注釋：

? /* Wow, they got it! But isn't something... missing? Perhaps

? * something they overlooked? Mua ha ha ha ha! */

暗示了我們隱藏問題的存在，除此之外再也沒有任何關(guān)于這個(gè)炸彈的信息。

下面我們使用objdump命令將炸彈文件反匯編出來：

objdump -d bomb > bomb.asm

然后通過VS Code來查看反匯編的結(jié)果，VS Code有x86 and x86_64 Assembly這個(gè)插件可以高亮匯編，看起來會舒服許多。

反匯編出來的代碼有近六千行，但是因?yàn)橛蟹柋淼拇嬖?，說明保留了調(diào)試所需的信息，我們可以通過gdb進(jìn)行單步調(diào)試來查看程序的運(yùn)行過程。

在使用gdb 的時(shí)候，我們可以加上-tui命令并用layout asm命令切換到匯編指令模式，就可以在調(diào)試的時(shí)候查看對應(yīng)的匯編代碼了。界面如下：

bomblab1.jpg

可以看到地址0x400da0就是main函數(shù)的地址。

一直向下查看，我們就可以看到C文件中出現(xiàn)的initialize_bomb函數(shù)，然后就到了phase_1函數(shù)，我們可以推測這個(gè)函數(shù)就是判斷是否通過的核心函數(shù)。

這時(shí)候就要用到gdb的指令了，在匯編模式下的指令與普通模式有一些不同。我們可以使用ni(next instruction)和si(step into)來實(shí)現(xiàn)普通模式下的單步向下執(zhí)行與步入操作。

打斷點(diǎn)需要使用b <func_name>或b *<address>來進(jìn)行比如我們可以看到調(diào)用phase_1函數(shù)的call指令的地址是0x400e3a，所以我們可以使用b phase_1或b *0x400e3a來打斷點(diǎn)的，這兩條命令有一點(diǎn)不同就在于斷在地址會停在地址 上也就是call指令的位置，斷在函數(shù)名會進(jìn)入函數(shù)中，相當(dāng)于再進(jìn)行了一次si操作。

斷點(diǎn)停后有可能出現(xiàn)字符重疊的情況，我們可以使用refresh命令刷新界面。

下面把斷點(diǎn)打在phase_1函數(shù)之后就可以使用r命令來運(yùn)行指令了，程序會提示我們輸入字符串，這個(gè)時(shí)候因?yàn)槲覀兇蛄藬帱c(diǎn)不用擔(dān)心炸彈會爆炸，可以隨意輸入。執(zhí)行后程序會停在phase_1函數(shù)的位置，我們可以看到函數(shù)內(nèi)部的情況。

下面就可以根據(jù)函數(shù)內(nèi)部的邏輯來解決炸彈了。

代碼來自objdump -d反匯編出來的代碼，與gdb的匯編模式下看到的代碼是一樣的。

主函數(shù)

主函數(shù)代碼比較長，只貼我們需要分析的關(guān)鍵部分。

  400e32:   e8 67 06 00 00          callq  40149e <read_line>
  400e37:   48 89 c7                mov    %rax,%rdi

第一句調(diào)用了read_line函數(shù)，我們可以轉(zhuǎn)到函數(shù)入口地址40149e去查看read_line的代碼（事實(shí)上一開始我也這么做了），但是會發(fā)現(xiàn)代碼中包含了許多對系統(tǒng)庫函數(shù)的調(diào)用，仔細(xì)分析的難度比較大并且沒有必要。從提供的C代碼與函數(shù)名稱，我們可以推測出這個(gè)函數(shù)的作用是讀取一行輸入。根據(jù)返回值一般存放在rax中的約定，rax中應(yīng)該就是讀入的數(shù)據(jù)的地址，第二句中我們把這個(gè)值復(fù)制到了rdi中。

  400e3a:   e8 a1 00 00 00          callq  400ee0 <phase_1>
  400e3f:   e8 80 07 00 00          callq  4015c4 <phase_defused>

接下來兩句分別開始調(diào)用phase_1與phase_defused，下面的五個(gè)階段也是上面這樣的模式。

階段一

0000000000400ee0 <phase_1>:
  400ee0:   48 83 ec 08             sub    $0x8,%rsp
  400ee4:   be 00 24 40 00          mov    $0x402400,%esi
  400ee9:   e8 4a 04 00 00          callq  401338 <strings_not_equal>
  400eee:   85 c0                   test   %eax,%eax
  400ef0:   74 05                   je     400ef7 <phase_1+0x17>
  400ef2:   e8 43 05 00 00          callq  40143a <explode_bomb>
  400ef7:   48 83 c4 08             add    $0x8,%rsp
  400efb:   c3                      retq  

階段一的代碼比較短，第二行中把一個(gè)地址給了esi，接下來調(diào)用了strings_not_equal這個(gè)函數(shù)，我們可以跳到函數(shù)入口地址查看這個(gè)函數(shù)。

  40133c:   48 89 fb                mov    %rdi,%rbx
  40133f:   48 89 f5                mov    %rsi,%rbp
  401342:   e8 d4 ff ff ff          callq  40131b <string_length>

函數(shù)中這兩行分別把rdi rsi的值復(fù)制到了rbx與rbp，然后調(diào)用了string_length，這個(gè)時(shí)候就不用去看string_length函數(shù)了，我們可以直接猜測出rbx與rbp就是函數(shù)的參數(shù)。那么可以說明rdi rsi就是給string_not_equal的函數(shù)，那么string_not_equal的返回值是什么呢？

看到string_not_equal返回后的5、6兩句，測試了eax的值，在eax等于0時(shí)就跳轉(zhuǎn)到400ef7，如果不為0，那么會繼續(xù)向下執(zhí)行，下面一句是調(diào)用explode_bomb函數(shù)，不用說這一定是觸發(fā)炸彈的函數(shù)，所以我們需要令string_not_equal的返回值為0，那么從名字判斷，我們需要令兩個(gè)字符串相等，兩個(gè)字符串之前說過存放在rdi與rsi中，rdi是我們讀入的字符串，而rsi中存放的是400ee4復(fù)制的0x402400，這個(gè)時(shí)候用gdb去查看該地址中存放的字符串比較方便：

bomblab2.png

這串字符就是第一階段的答案。

階段二

  400efc:   55                      push   %rbp
  400efd:   53                      push   %rbx
  400efe:   48 83 ec 28             sub    $0x28,%rsp
  400f02:   48 89 e6                mov    %rsp,%rsi
  400f05:   e8 52 05 00 00          callq  40145c <read_six_numbers>
  400f0a:   83 3c 24 01             cmpl   $0x1,(%rsp)
  400f0e:   74 20                   je     400f30 <phase_2+0x34>
  400f10:   e8 25 05 00 00          callq  40143a <explode_bomb>
  400f15:   eb 19                   jmp    400f30 <phase_2+0x34>
  400f17:   8b 43 fc                mov    -0x4(%rbx),%eax
  400f1a:   01 c0                   add    %eax,%eax
  400f1c:   39 03                   cmp    %eax,(%rbx)
  400f1e:   74 05                   je     400f25 <phase_2+0x29>
  400f20:   e8 15 05 00 00          callq  40143a <explode_bomb>
  400f25:   48 83 c3 04             add    $0x4,%rbx
  400f29:   48 39 eb                cmp    %rbp,%rbx
  400f2c:   75 e9                   jne    400f17 <phase_2+0x1b>
  400f2e:   eb 0c                   jmp    400f3c <phase_2+0x40>
  400f30:   48 8d 5c 24 04          lea    0x4(%rsp),%rbx
  400f35:   48 8d 6c 24 18          lea    0x18(%rsp),%rbp
  400f3a:   eb db                   jmp    400f17 <phase_2+0x1b>
  400f3c:   48 83 c4 28             add    $0x28,%rsp
  400f40:   5b                      pop    %rbx
  400f41:   5d                      pop    %rbp
  400f42:   c3                      retq  

進(jìn)入phase_2函數(shù)，觀察它的代碼，可以發(fā)現(xiàn)第5行調(diào)用了一個(gè)名為read_six_numbers這個(gè)函數(shù)，顧名思義，這個(gè)函數(shù)的作用應(yīng)該是從輸入中讀取6個(gè)數(shù)字，那么問題來了，這6個(gè)數(shù)字是怎么返回的呢？我們注意到第4行中把rsp的值復(fù)制給了rsi，我們可以猜測這個(gè)函數(shù)是使用棧來返回讀入的結(jié)果。

當(dāng)然只是猜測是不行的，我們需要用實(shí)驗(yàn)去驗(yàn)證我們的想法，我們在輸入文件中設(shè)置1 2 3 4 5 6這一行輸入，然后將斷點(diǎn)打在*400f0a這個(gè)函數(shù)剛返回的位置（注意輸入中應(yīng)該含有第一階段的答案，不然炸彈就炸在第一階段了）。運(yùn)行停在斷點(diǎn)之后查看棧中的內(nèi)容：

bomblab3.png

我們打出了rsp開始32字節(jié)的內(nèi)容，發(fā)現(xiàn)棧中依次存放了輸入的6個(gè)數(shù)，之后就是返回的地址。那么我們可以確定讀取的數(shù)值就是依次存放在棧中的。

接下來看第6、7、8行，它將rsp中存放的值與1進(jìn)行比較，如果相等則跳過第8行的引爆代碼，說明我們需要輸入的第一個(gè)數(shù)為1 。再看跳轉(zhuǎn)到的位置（19、20行）將rsp+0x4與rsp+0x18的值分別存放到了rbx與rbp。下一行又進(jìn)行了一次跳轉(zhuǎn)，來到了第10行，第10行將rbx的地址減4中存放的內(nèi)容復(fù)制到了eax中，rbx的地址減4也就意味著與rsp相等，它的值也就是第一個(gè)讀入的值。下一行將eax的值乘二，接下來將乘二后的值與rbx也就是第二個(gè)值進(jìn)行比較，如果相同則跳過引爆代碼。上面這一系列操作總結(jié)起來就是如果第二個(gè)值是第一個(gè)值的兩倍則不引爆。

再往下就是把rbx的值加上4，因?yàn)橐粋€(gè)int占4個(gè)字節(jié)，也就是把rbx指向了下一個(gè)讀入的值。下一步將rbx與rbp的值進(jìn)行比較，回想rbp的值為的rsp+0x18也就是 rsp+24，指向6個(gè)int值之后的位置，所以與它進(jìn)行比較就是判斷是否到達(dá)臨界條件。如果沒有到達(dá)臨界條件，則跳到上一段中比較的部分繼承進(jìn)行?？吹竭@里，我們已經(jīng)可以判斷出phase_2的要求是讀入的6個(gè)數(shù)第一個(gè)數(shù)必為1，而后面的數(shù)字都是前面一個(gè)數(shù)字的兩倍。

所以階段2的答案為1 2 3 4 5 6.

階段三

階段三的代碼比較長，我們分開來看：

0000000000400f43 <phase_3>:
  400f43:   48 83 ec 18             sub    $0x18,%rsp
  400f47:   48 8d 4c 24 0c          lea    0xc(%rsp),%rcx
  400f4c:   48 8d 54 24 08          lea    0x8(%rsp),%rdx
  400f51:   be cf 25 40 00          mov    $0x4025cf,%esi
  400f56:   b8 00 00 00 00          mov    $0x0,%eax
  400f5b:   e8 90 fc ff ff          callq  400bf0 <__isoc99_sscanf@plt>
  400f60:   83 f8 01                cmp    $0x1,%eax
  400f63:   7f 05                   jg     400f6a <phase_3+0x27>
  400f65:   e8 d0 04 00 00          callq  40143a <explode_bomb>
  400f6a:   83 7c 24 08 07          cmpl   $0x7,0x8(%rsp)
  400f6f:   77 3c                   ja     400fad <phase_3+0x6a>
  400f71:   8b 44 24 08             mov    0x8(%rsp),%eax
  400f75:   ff 24 c5 70 24 40 00    jmpq   *0x402470(,%rax,8)

第3、4兩行將rsp+0xc與rsp+0x8的值分別給rcx與rdx，下一行將一個(gè)地址值復(fù)制給了esi，接著將eax置為0，下一步調(diào)用了庫函數(shù)sscanf，我們想到sscanf中的參數(shù)中需要一個(gè)格式化字符串，那么esi中的這個(gè)地址值就很有可能存放了這個(gè)字符串，我們同樣使用gdb在運(yùn)行時(shí)查看這個(gè)字符串：

bomblab4.png

可以看到這就是格式化字符串，讀入的是兩個(gè)整型值。這兩個(gè)值存放在哪里呢？我們想到之前把rsp+0xc與rsp+0x8的值分別給rcx與rdx，這是兩個(gè)地址值，我們可以用之前的方法驗(yàn)證棧中存放的確實(shí)是我們讀入的這兩個(gè)值。

下面第8行將eax與1進(jìn)行比較，eax一般用于存放函數(shù)返回值，而sscanf 的返回值是成功讀入的數(shù)值個(gè)數(shù)，也就是說這幾行將成功讀入的個(gè)數(shù)與1進(jìn)行比較，如果大于1則跳過引爆的代碼。

下面第11行將rsp+0x8中存放的值與0x7進(jìn)行比較，如果大于0x7則跳到400fad的位置，我們看這個(gè)地址的指令：

  400fad:   e8 88 04 00 00          callq  40143a <explode_bomb>

引爆炸彈。

下面的兩行比較關(guān)鍵：第13行將rsp+0x8中存放的值復(fù)制入eax，第14行進(jìn)行一個(gè)跳轉(zhuǎn)，跳轉(zhuǎn)到的地址為0x402470(,%rax,8)，這就是一個(gè)典型的switch語句的實(shí)現(xiàn)：直接跳轉(zhuǎn)到索引*位移的指令位置。

  x = 0
  400f7c:   b8 cf 00 00 00          mov    $0xcf,%eax
  400f81:   eb 3b                   jmp    400fbe <phase_3+0x7b>
  x = 2
  400f83:   b8 c3 02 00 00          mov    $0x2c3,%eax
  400f88:   eb 34                   jmp    400fbe <phase_3+0x7b>
  x = 3
  400f8a:   b8 00 01 00 00          mov    $0x100,%eax
  400f8f:   eb 2d                   jmp    400fbe <phase_3+0x7b>
  x = 4
  400f91:   b8 85 01 00 00          mov    $0x185,%eax
  400f96:   eb 26                   jmp    400fbe <phase_3+0x7b>
  x = 5
  400f98:   b8 ce 00 00 00          mov    $0xce,%eax
  400f9d:   eb 1f                   jmp    400fbe <phase_3+0x7b>
  x = 6
  400f9f:   b8 aa 02 00 00          mov    $0x2aa,%eax
  400fa4:   eb 18                   jmp    400fbe <phase_3+0x7b>
  x = 7
  400fa6:   b8 47 01 00 00          mov    $0x147,%eax
  400fab:   eb 11                   jmp    400fbe <phase_3+0x7b>

  400fad:   e8 88 04 00 00          callq  40143a <explode_bomb>
  400fb2:   b8 00 00 00 00          mov    $0x0,%eax
  400fb7:   eb 05                   jmp    400fbe <phase_3+0x7b>
  x = 1
  400fb9:   b8 37 01 00 00          mov    $0x137,%eax
  400fbe:   3b 44 24 0c             cmp    0xc(%rsp),%eax
  400fc2:   74 05                   je     400fc9 <phase_3+0x86>
  
  400fc4:   e8 71 04 00 00          callq  40143a <explode_bomb>
  400fc9:   48 83 c4 18             add    $0x18,%rsp
  400fcd:   c3                      retq   

上面的代碼已經(jīng)加了注釋，假設(shè)讀入的第一個(gè)數(shù)為x，看到所有分支最后都跳轉(zhuǎn)到了400fbe這行判斷中，將eax中的值與rsp+0xc也就是我們讀入的第二個(gè)數(shù)進(jìn)行判斷，如果相等的話跳過引爆代碼。

而每個(gè)分支都將一個(gè)數(shù)復(fù)制到了eax中，也就是說我們只要根據(jù)不同的第一個(gè)參數(shù)的值讀入對應(yīng)的第二個(gè)參數(shù)就可以了，所以我們可以隨意選擇一個(gè)x值，這里我選擇x=1，對應(yīng)的第二個(gè)參數(shù)為0x137換成十進(jìn)制是311，所以第3階段的（一個(gè)）答案為：

1 311

階段四

000000000040100c <phase_4>:
  40100c:   48 83 ec 18             sub    $0x18,%rsp
  401010:   48 8d 4c 24 0c          lea    0xc(%rsp),%rcx
  401015:   48 8d 54 24 08          lea    0x8(%rsp),%rdx
  40101a:   be cf 25 40 00          mov    $0x4025cf,%esi
  40101f:   b8 00 00 00 00          mov    $0x0,%eax
  401024:   e8 c7 fb ff ff          callq  400bf0 <__isoc99_sscanf@plt>
  401029:   83 f8 02                cmp    $0x2,%eax
  40102c:   75 07                   jne    401035 <phase_4+0x29>
  40102e:   83 7c 24 08 0e          cmpl   $0xe,0x8(%rsp)
  401033:   76 05                   jbe    40103a <phase_4+0x2e>
  401035:   e8 00 04 00 00          callq  40143a <explode_bomb>
  40103a:   ba 0e 00 00 00          mov    $0xe,%edx
  40103f:   be 00 00 00 00          mov    $0x0,%esi
  401044:   8b 7c 24 08             mov    0x8(%rsp),%edi
  401048:   e8 81 ff ff ff          callq  400fce <func4>
  40104d:   85 c0                   test   %eax,%eax
  40104f:   75 07                   jne    401058 <phase_4+0x4c> 

前面的代碼比較熟悉，同樣是調(diào)用了sscanf函數(shù)，我們查看格式字符串：

bomblab5.png

也是讀入兩個(gè)參數(shù)存放在rcx與rdx中。

同樣對讀入?yún)?shù)的個(gè)數(shù)進(jìn)行了判斷，要求成功讀入?yún)?shù)的個(gè)數(shù)等于兩個(gè)，第11、12行要求輸入的第一個(gè)參數(shù)小于0xe。

接下來把0xe賦給edx、0x0賦給esi，rsp+0x8的值賦給edi。接下來調(diào)用了func4函數(shù)。

在去查看func4函數(shù)的代碼之前，我們先查看函數(shù)返回后的代碼，了解我們需要的結(jié)果。第17、18行測試了eax的值如果不為0，就跳轉(zhuǎn)到引爆代碼。

所以我們的目標(biāo)是返回時(shí)eax的值為0.下面進(jìn)入func4函數(shù)。

0000000000400fce <func4>:
  400fce:   48 83 ec 08             sub    $0x8,%rsp
  400fd2:   89 d0                   mov    %edx,%eax
  400fd4:   29 f0                   sub    %esi,%eax
  400fd6:   89 c1                   mov    %eax,%ecx
  400fd8:   c1 e9 1f                shr    $0x1f,%ecx
  400fdb:   01 c8                   add    %ecx,%eax
  400fdd:   d1 f8                   sar    %eax
  400fdf:   8d 0c 30                lea    (%rax,%rsi,1),%ecx
  400fe2:   39 f9                   cmp    %edi,%ecx
  400fe4:   7e 0c                   jle    400ff2 <func4+0x24>
  400fe6:   8d 51 ff                lea    -0x1(%rcx),%edx
  400fe9:   e8 e0 ff ff ff          callq  400fce <func4>
  400fee:   01 c0                   add    %eax,%eax
  400ff0:   eb 15                   jmp    401007 <func4+0x39>
  400ff2:   b8 00 00 00 00          mov    $0x0,%eax
  400ff7:   39 f9                   cmp    %edi,%ecx
  400ff9:   7d 0c                   jge    401007 <func4+0x39>
  400ffb:   8d 71 01                lea    0x1(%rcx),%esi
  400ffe:   e8 cb ff ff ff          callq  400fce <func4>
  401003:   8d 44 00 01             lea    0x1(%rax,%rax,1),%eax
  401007:   48 83 c4 08             add    $0x8,%rsp
  40100b:   c3                      retq    

這段代碼之中我們調(diào)用了func4，這是一個(gè)遞歸的過程，像之間那樣直接分析比較困難，這里我們就將這個(gè)代碼逆向?yàn)镃語言再來分析，下面是逆向出的C語言代碼：

int fun(int a1, int a2, int x){
    int b = (a1 - a2) >> 31;
    int result = ((a1-a2) + b) >> 1;
    b = result + a2;
    if(b == x) return 0;
    if(b < x) {
        result = fun(a1, b + 1, x);
        return result * 2 + 1;
    }else{
        result = fun(b - 1, a2, x);
        return result * 2;
    }
}

這里的a1``a2初始值分別為之前的0xe與0x0。我們可以直接寫個(gè)測試程序來跑出能返回0的輸入值：

int main(void){
    for(int i = 0; i <= 0xe; i++){
        if(fun(0xe,0,i) == 0){
            printf("%d\n",i) ;
            return 0;
        }
    }
    return 0; 
}

得出允許的值有0 1 3 7.

回到phase_4的代碼：

  401051:   83 7c 24 0c 00          cmpl   $0x0,0xc(%rsp)
  401056:   74 05                   je     40105d <phase_4+0x51>
  401058:   e8 dd 03 00 00          callq  40143a <explode_bomb>
  40105d:   48 83 c4 18             add    $0x18,%rsp
  401061:   c3                      retq  

第1、2行將輸入的第二個(gè)參數(shù)與0進(jìn)行比較，如果不為0就引爆炸彈。所以輸入的第二個(gè)參數(shù)必為0。

綜上我們得出（一個(gè)）答案為：

0 0

階段五

后面的階段難度開始加大，我們分部分進(jìn)行分析：

0000000000401062 <phase_5>:
  401062:   53                      push   %rbx
  401063:   48 83 ec 20             sub    $0x20,%rsp
  401067:   48 89 fb                mov    %rdi,%rbx
  40106a:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  401071:   00 00
  401073:   48 89 44 24 18          mov    %rax,0x18(%rsp)

第4行把輸入的地址rdi給rbx，第5、7行則是在棧中壓入了一個(gè)哨兵變量。

  401078:   31 c0                   xor    %eax,%eax
  40107a:   e8 9c 02 00 00          callq  40131b <string_length>
  40107f:   83 f8 06                cmp    $0x6,%eax
  401082:   74 4e                   je     4010d2 <phase_5+0x70>
  401084:   e8 b1 03 00 00          callq  40143a <explode_bomb>

第1行清空了eax，第2行中調(diào)用了string_length，我們想到之前的把輸入放入rbx這個(gè)動(dòng)作，可以推測這個(gè)函數(shù)是為了統(tǒng)計(jì)輸入字符的個(gè)數(shù)，并存放在了eax中。

下面將eax的值與0x6進(jìn)行比較，等于則進(jìn)行跳轉(zhuǎn)避免引爆炸彈。我們進(jìn)入跳轉(zhuǎn)到的位置：

  4010d2:   b8 00 00 00 00          mov    $0x0,%eax
  4010d7:   eb b2                   jmp    40108b <phase_5+0x29>

把eax置為0后進(jìn)行跳轉(zhuǎn)。

繼續(xù)進(jìn)入跳轉(zhuǎn)到的位置：

 40108b:    0f b6 0c 03             movzbl (%rbx,%rax,1),%ecx
  40108f:   88 0c 24                mov    %cl,(%rsp)
  401092:   48 8b 14 24             mov    (%rsp),%rdx
  401096:   83 e2 0f                and    $0xf,%edx
  401099:   0f b6 92 b0 24 40 00    movzbl 0x4024b0(%rdx),%edx
  4010a0:   88 54 04 10             mov    %dl,0x10(%rsp,%rax,1)
  4010a4:   48 83 c0 01             add    $0x1,%rax
  4010a8:   48 83 f8 06             cmp    $0x6,%rax
  4010ac:   75 dd                   jne    40108b <phase_5+0x29>

第1行中movzbl命令將從rbx（輸入）開始的rax位置的一個(gè)字節(jié)賦給ecx的低16位。

接下來的兩行先把cl中的值（上一步得到）復(fù)制到rsp處，再將rsp中的值復(fù)制到rdx中，第4行使用掩碼0xf取edx的低4位。到這里我們總結(jié)一下上面的操作：取讀入的字符串中rax位置處的字符，再取它的低4位放在edx中。

下面第5行中，將地址0x4024b0+rdx中的一個(gè)字節(jié)放入edx的低16位中。第6行將這16位復(fù)制到了rsp+0x10+rax的位置中。

接下來把rax加1，我們從前面可以看出來這個(gè)rax起的是一個(gè)索引的作用。第 8行與6進(jìn)行比較，如果不等于6則跳到第1行重復(fù)這個(gè)過程。

在這段之中，循環(huán)一共進(jìn)行了6次，分別讀取了輸入的6個(gè)字符，記錄這個(gè)6個(gè)字符的低6位作為索引rdx，從0x4024b0+rdx的位置復(fù)制一個(gè)字節(jié)到rsp+0x10開始的6字節(jié)中。結(jié)束之后，rsp+0x10開始存放了6個(gè)字符。

  4010ae:   c6 44 24 16 00          movb   $0x0,0x16(%rsp)

接下來一行在rsp+0x16的位置也就是6個(gè)字符之后置上一個(gè)0x0也就是終止符\0。

  4010b3:   be 5e 24 40 00          mov    $0x40245e,%esi
  4010b8:   48 8d 7c 24 10          lea    0x10(%rsp),%rdi
  4010bd:   e8 76 02 00 00          callq  401338 <strings_not_equal>
  4010c2:   85 c0                   test   %eax,%eax
  4010c4:   74 13                   je     4010d9 <phase_5+0x77>
  4010c6:   e8 6f 03 00 00          callq  40143a <explode_bomb>

接下來將0x40245e這個(gè)地址賦給esi，把rsp+0x10這個(gè)地址賦給rdi，接下來調(diào)用strings_not_equal這個(gè)函數(shù)，之前的經(jīng)驗(yàn)告訴我們esi與rdi就是要比較的兩個(gè)字符串的首地址。如果兩個(gè)字符串不相同就引爆炸彈。

我們先看0x40245e位置的字符串：

bomblab6.png

這就是我們應(yīng)該構(gòu)造并存放在rsp+0x10處的字符串。

接下來再查看我們復(fù)制到rsp中的字符來源也就是0x4024b0開始的字符：

bomblab7.png

可以看到我們需要的字符flyers的索引分別為9 15 14 5 6 7。這個(gè)索引就是我們輸入的字符的低4位，那我們只要找到低4位分別是以上數(shù)值的字符就可以了。

所以階段5的（一個(gè)）答案為：

ionefg

階段六

階段六可以說是最復(fù)雜的一個(gè)階段，同樣一步步分析：

00000000004010f4 <phase_6>:
  4010f4:   41 56                   push   %r14
  4010f6:   41 55                   push   %r13
  4010f8:   41 54                   push   %r12
  4010fa:   55                      push   %rbp
  4010fb:   53                      push   %rbx
  4010fc:   48 83 ec 50             sub    $0x50,%rsp
  401100:   49 89 e5                mov    %rsp,%r13
  401103:   48 89 e6                mov    %rsp,%rsi
  401106:   e8 51 03 00 00          callq  40145c <read_six_numbers>

讀入6個(gè)數(shù)字，存放位置還是棧中。

  40110b:   49 89 e6                mov    %rsp,%r14
  40110e:   41 bc 00 00 00 00       mov    $0x0,%r12d
  401114:   4c 89 ed                mov    %r13,%rbp
  401117:   41 8b 45 00             mov    0x0(%r13),%eax
  40111b:   83 e8 01                sub    $0x1,%eax
  40111e:   83 f8 05                cmp    $0x5,%eax
  401121:   76 05                   jbe    401128 <phase_6+0x34>
  401123:   e8 12 03 00 00          callq  40143a <explode_bomb>
  401128:   41 83 c4 01             add    $0x1,%r12d
  40112c:   41 83 fc 06             cmp    $0x6,%r12d
  401130:   74 21                   je     401153 <phase_6+0x5f>
  401132:   44 89 e3                mov    %r12d,%ebx
  401135:   48 63 c3                movslq %ebx,%rax
  401138:   8b 04 84                mov    (%rsp,%rax,4),%eax
  40113b:   39 45 00                cmp    %eax,0x0(%rbp)
  40113e:   75 05                   jne    401145 <phase_6+0x51>
  401140:   e8 f5 02 00 00          callq  40143a <explode_bomb>
  401145:   83 c3 01                add    $0x1,%ebx
  401148:   83 fb 05                cmp    $0x5,%ebx
  40114b:   7e e8                   jle    401135 <phase_6+0x41>
  40114d:   49 83 c5 04             add    $0x4,%r13
  401151:   eb c1                   jmp    401114 <phase_6+0x20>

前面是一系列的賦值操作，第5行將eax減1，eax中的值是rsp位置存放的值。第6、7兩行將減一以后的值與5進(jìn)行比較，小于等于5則跳過引爆代碼。也就是說rsp中存放的第一個(gè)數(shù)必須小于等于6.

之前將r12d置為0，第9行中將r12d的值增加1，下一行與6進(jìn)行比較，如果相等則跳入下一個(gè)階段。

第12行中把r12d中的值復(fù)制給了ebx，下一步又賦給了rax，接下來的一行mov將rsp+rax*4中的值（也就是第rax+1個(gè)讀入的int值）給了eax。

下一步將eax中的值與rbp地址指向的值進(jìn)行比較，如果不相同則跳過引爆代碼。說明這兩個(gè)值需要不同，再接下來將ebx中的值加1，再與5進(jìn)行比較，如果小于等于5則跳到第13行中，更新rax的值，再去從棧中取下一個(gè)新的int值和rbp中的進(jìn)行比較。到這里我們可以看出，從13行到20行相當(dāng)于一個(gè)內(nèi)循環(huán)，從r12d開始，到5結(jié)束，不斷地取棧中的值與rbp的值比較，也就是要求rbp之后的值需要與rbp不同。

第21、22行則是外循環(huán)，它更新了r13的值，令r13指向下一個(gè)int值。跳到第3行用r13的值更新rbp的值，也就是把比較的對象向后移一個(gè)。同樣要求該值小于等于5。后面再進(jìn)行內(nèi)循環(huán)比較之后的值。

這里我們就可以明白這段代碼的作用：限制讀入的6個(gè)數(shù)必須小于等于6并且互不相等。

  401153:   48 8d 74 24 18          lea    0x18(%rsp),%rsi
  401158:   4c 89 f0                mov    %r14,%rax
  40115b:   b9 07 00 00 00          mov    $0x7,%ecx
  401160:   89 ca                   mov    %ecx,%edx
  401162:   2b 10                   sub    (%rax),%edx
  401164:   89 10                   mov    %edx,(%rax)
  401166:   48 83 c0 04             add    $0x4,%rax
  40116a:   48 39 f0                cmp    %rsi,%rax
  40116d:   75 f1                   jne    401160 <phase_6+0x6c>

第1行中將rsp+0x18的值賦給rsi。

第2行將r14的值賦給rax，r14的值是之前保存的rsp。

第3行將0x7賦給ecx，第4行又將ecx復(fù)制給edx。

下一步將edx減去rax存放的地址指向的值，接下來又將edx的值賦回rax存放的地址指向的值。

第7行將rax的值加4，也就是指向了下一個(gè)int值，接著與之前設(shè)定的rsi進(jìn)行的比較，如果不相等則重復(fù)這個(gè)過程。rsi實(shí)際上指向的是6個(gè)int值之后的位置，作為一個(gè)標(biāo)記使用。

這段代碼總結(jié)起來就是將棧中的6個(gè)值（假設(shè)為x）變?yōu)?-x。

  40116f:   be 00 00 00 00          mov    $0x0,%esi
  401174:   eb 21                   jmp    401197 <phase_6+0xa3>
  401176:   48 8b 52 08             mov    0x8(%rdx),%rdx
  40117a:   83 c0 01                add    $0x1,%eax
  40117d:   39 c8                   cmp    %ecx,%eax
  40117f:   75 f5                   jne    401176 <phase_6+0x82>
  401181:   eb 05                   jmp    401188 <phase_6+0x94>

  401183:   ba d0 32 60 00          mov    $0x6032d0,%edx
  401188:   48 89 54 74 20          mov    %rdx,0x20(%rsp,%rsi,2)
  40118d:   48 83 c6 04             add    $0x4,%rsi
  401191:   48 83 fe 18             cmp    $0x18,%rsi
  401195:   74 14                   je     4011ab <phase_6+0xb7>
  401197:   8b 0c 34                mov    (%rsp,%rsi,1),%ecx
  40119a:   83 f9 01                cmp    $0x1,%ecx
  40119d:   7e e4                   jle    401183 <phase_6+0x8f>

  40119f:   b8 01 00 00 00          mov    $0x1,%eax
  4011a4:   ba d0 32 60 00          mov    $0x6032d0,%edx
  4011a9:   eb cb                   jmp    401176 <phase_6+0x82>

進(jìn)入下一段代碼，一開始先將esi歸零，然后跳到第14行處執(zhí)行。

第14行中從rsp+rsi的位置（也就是棧中我們讀入的位置）取出一個(gè)數(shù)賦給ecx，接下來對取出的這個(gè)值進(jìn)行判斷，如果它小于等于1則跳到第9行處。

我們在這里假設(shè)這個(gè)數(shù)確實(shí)小于等于1。到第9行，將一個(gè)地址值賦給了edx，接下來將edx的值賦給了rsp+2*rsi+0x20的地址指向的值，這里我們可以知道rsi起到的是索引的作用，下面一行將rsi增加4，說明從rsp+0x20開始存放8個(gè)字節(jié)的數(shù)據(jù)。再將rsi的值與0x18作比較，說明整個(gè)過程要進(jìn)行6次。接下來又到了第14行將下一個(gè)int值給rcx。

那么如果rcx的值不小于等于1，繼續(xù)往下走，第18行將0x1賦給eax，19行將0x6032d0這個(gè)地址賦給edx，接下來跳轉(zhuǎn)到了第3行。第3-6行的代碼是一起的，也是理解這個(gè)過程的關(guān)鍵。

首先第3行的命令，把edx+0x8地址指向的值賦給了edx，這步操作一開始比較難以理解，我們需要先看看edx的初始狀態(tài)是什么樣的，使用gdb在運(yùn)行時(shí)查看內(nèi)存：

bomblab8.png

我們可以從這個(gè)信息中看出，其實(shí)它就是一個(gè)鏈表的結(jié)構(gòu)，首先名字就是node給了提示，再者每一個(gè)node中偏移8個(gè)字節(jié)中儲存的都是下一個(gè)節(jié)點(diǎn)的地址，那么前面8個(gè)字節(jié)自然就是節(jié)點(diǎn)儲存的數(shù)據(jù)。

我們再回過頭來看第3行的代碼，就不難理解這個(gè)操作就是我們常用的p = p -> next，也就是指向下一個(gè)節(jié)點(diǎn)。

第4行把eax增1，再將eax與ecx進(jìn)行比較，如果不等就再跳到第3步指向鏈表下一個(gè)節(jié)點(diǎn)，那么可以看出這4行代碼的作用就是從edx這個(gè)初始位置開始向后移動(dòng)ecx-1次，第7行跳過了第9行，把edx賦給了rsp+0x20開始的第rsi個(gè)8字節(jié)的位置。如果rsi達(dá)到0x18則跳出這部分代碼。

我們整理一下這個(gè)過程，其實(shí)就是依次從棧中讀取存放的6個(gè)數(shù)放入rcx，再根據(jù)rcx的值找到鏈表中對應(yīng)的節(jié)點(diǎn)，把節(jié)點(diǎn)的地址放入rsp+0x20開始的對應(yīng)位置中。

  4011ab:   48 8b 5c 24 20          mov    0x20(%rsp),%rbx
  4011b0:   48 8d 44 24 28          lea    0x28(%rsp),%rax
  4011b5:   48 8d 74 24 50          lea    0x50(%rsp),%rsi
  4011ba:   48 89 d9                mov    %rbx,%rcx
  4011bd:   48 8b 10                mov    (%rax),%rdx
  4011c0:   48 89 51 08             mov    %rdx,0x8(%rcx)
  4011c4:   48 83 c0 08             add    $0x8,%rax
  4011c8:   48 39 f0                cmp    %rsi,%rax
  4011cb:   74 05                   je     4011d2 <phase_6+0xde>
  4011cd:   48 89 d1                mov    %rdx,%rcx
  4011d0:   eb eb                   jmp    4011bd <phase_6+0xc9>
  4011d2:   48 c7 42 08 00 00 00    movq   $0x0,0x8(%rdx)

這段代碼前三行分別將rsp+0x20地址指向值、rsp+0x28的值、rsp+0x50的值賦給了rbx 、rax、rsi。第4行將rbx復(fù)制到rcx中，第5行將rax（rsp+0x20）中存放的地址復(fù)制入rdx，第6行將這個(gè)數(shù)據(jù)賦給了rcx（也就是rbx、*(rsp+0x20)）節(jié)點(diǎn)的指針域。下一步將rax增加8，指向棧中的下一個(gè)位置。再與rsi這個(gè)臨界地址進(jìn)行比較，如果rax超出末端則跳出這段代碼到第12行的位置。

下面把rdx中存放的地址值賦給rcx，跳轉(zhuǎn)到第5行重復(fù)過程。

仔細(xì)分析，這個(gè)過程其實(shí)就是按照鏈表節(jié)點(diǎn)在棧中的位置重新將鏈表連接起來。

最后跳出的第12行則是把新的表尾的指針域賦為NULL。

  4011d9:   00 
  4011da:   bd 05 00 00 00          mov    $0x5,%ebp
  4011df:   48 8b 43 08             mov    0x8(%rbx),%rax
  4011e3:   8b 00                   mov    (%rax),%eax
  4011e5:   39 03                   cmp    %eax,(%rbx)
  4011e7:   7d 05                   jge    4011ee <phase_6+0xfa>
  4011e9:   e8 4c 02 00 00          callq  40143a <explode_bomb>
  4011ee:   48 8b 5b 08             mov    0x8(%rbx),%rbx
  4011f2:   83 ed 01                sub    $0x1,%ebp
  4011f5:   75 e8                   jne    4011df <phase_6+0xeb>
  4011f7:   48 83 c4 50             add    $0x50,%rsp
  4011fb:   5b                      pop    %rbx
  4011fc:   5d                      pop    %rbp
  4011fd:   41 5c                   pop    %r12
  4011ff:   41 5d                   pop    %r13
  401201:   41 5e                   pop    %r14
  401203:   c3                      retq   

第2行將ebp賦上0x5，第三行中rbx的值是之前的rsp+0x20，那么rbx+0x8這個(gè)地址中存放的值就是下一個(gè)節(jié)點(diǎn)的地址，賦給了rax。

第4行將rax代表的節(jié)點(diǎn)的數(shù)據(jù)取出放入eax，再與rbx代表的節(jié)點(diǎn)的數(shù)據(jù)的值的低4位進(jìn)行比較，如果前一個(gè)節(jié)點(diǎn)的數(shù)據(jù)的低4字節(jié)大于等于后一個(gè)節(jié)點(diǎn)的，則跳過引爆代碼。

第8行又是熟悉的操作：使rbx指向下一個(gè)節(jié)點(diǎn)。

第9、10行減小ebp這個(gè)循環(huán)變量再進(jìn)行判斷，保證循環(huán)進(jìn)行5次。

也就是說，我們需要使新的鏈表中前一個(gè)節(jié)點(diǎn)存放的數(shù)據(jù)值的低4字節(jié)都大于后一個(gè)節(jié)點(diǎn)的。

弄清楚了過程，下面就可以開始反推答案了：

先找到正確的鏈表節(jié)點(diǎn)排列，根據(jù)圖：

bomblab8.png

數(shù)據(jù)由大到小的排列依次是3 4 5 6 1 2。

由于有一步x = 7 - x，所以倒推回來的答案應(yīng)該是：

4 3 2 1 6 5

秘密階段

在之前C代碼的暗示以及我們查看匯編代碼的過程中都可以猜測出有一個(gè)秘密階段的存在，secret_phase的代碼就在phase_6后的func7之后。第一個(gè)問題是我們?nèi)绾芜M(jìn)入secret_phase。

這里可以用一個(gè)簡單的方法，直接在反匯編代碼中搜索secret_phase的入口地址，很快就可以發(fā)現(xiàn)在每個(gè)階段的phase_x之后都有一行phase_defused，就在這個(gè)函數(shù)里面存在callq secret_phase的代碼。

我們就開始分析這個(gè)phase_defused：

00000000004015c4 <phase_defused>:
  4015c4:   48 83 ec 78             sub    $0x78,%rsp
  4015c8:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  4015cf:   00 00 
  4015d1:   48 89 44 24 68          mov    %rax,0x68(%rsp)
  4015d6:   31 c0                   xor    %eax,%eax
  4015d8:   83 3d 81 21 20 00 06    cmpl   $0x6,0x202181(%rip)        # 603760 <num_input_strings>
  4015df:   75 5e                   jne    40163f <phase_defused+0x7b>
  4015e1:   4c 8d 44 24 10          lea    0x10(%rsp),%r8
  4015e6:   48 8d 4c 24 0c          lea    0xc(%rsp),%rcx
  4015eb:   48 8d 54 24 08          lea    0x8(%rsp),%rdx
  4015f0:   be 19 26 40 00          mov    $0x402619,%esi
  4015f5:   bf 70 38 60 00          mov    $0x603870,%edi
  4015fa:   e8 f1 f5 ff ff          callq  400bf0 <__isoc99_sscanf@plt>
  4015ff:   83 f8 03                cmp    $0x3,%eax
  401602:   75 31                   jne    401635 <phase_defused+0x71>
  401604:   be 22 26 40 00          mov    $0x402622,%esi
  401609:   48 8d 7c 24 10          lea    0x10(%rsp),%rdi
  40160e:   e8 25 fd ff ff          callq  401338 <strings_not_equal>
  401613:   85 c0                   test   %eax,%eax
  401615:   75 1e                   jne    401635 <phase_defused+0x71>
  401617:   bf f8 24 40 00          mov    $0x4024f8,%edi
  40161c:   e8 ef f4 ff ff          callq  400b10 <puts@plt>
  401621:   bf 20 25 40 00          mov    $0x402520,%edi
  401626:   e8 e5 f4 ff ff          callq  400b10 <puts@plt>
  40162b:   b8 00 00 00 00          mov    $0x0,%eax
  401630:   e8 0d fc ff ff          callq  401242 <secret_phase>
  401635:   bf 58 25 40 00          mov    $0x402558,%edi
  40163a:   e8 d1 f4 ff ff          callq  400b10 <puts@plt>
  40163f:   48 8b 44 24 68          mov    0x68(%rsp),%rax
  401644:   64 48 33 04 25 28 00    xor    %fs:0x28,%rax
  40164b:   00 00 
  40164d:   74 05                   je     401654 <phase_defused+0x90>
  40164f:   e8 dc f4 ff ff          callq  400b30 <__stack_chk_fail@plt>
  401654:   48 83 c4 78             add    $0x78,%rsp
  401658:   c3                      retq   

可以看到第7行將函數(shù)num_input_strings的返回值與6進(jìn)行比較，如果不等于6則的直接跳過中間代碼到達(dá)最后的結(jié)束部分。

從函數(shù)名我們可以推測這個(gè)函數(shù)的作用的是檢測讀取的字符串的數(shù)量，當(dāng)讀取了6個(gè)字符串時(shí)，就不會跳過中間的代碼。我們繼續(xù)看中間的代碼：

第9到14行又是熟悉的sscanf調(diào)用過程，我們已經(jīng)知道esi指向的是格式化字符串的首地址，我們先來查看它的內(nèi)容：

bomblab9.png

讀取兩個(gè)整數(shù)和一個(gè)字符串。

有所不同的是在12行之后又有一行給edi賦上了一個(gè)地址值，我們之前所有階段中edi的值都是來自于我們read_line的地址，想到sscanf 參數(shù)中確實(shí)存在一個(gè)輸入，我們可以推測這個(gè)edi中存放的是我們讀取位置的首地址。

那么我們就可以在運(yùn)行時(shí)查看這個(gè)地址的內(nèi)容，看是從哪里進(jìn)行讀取的：

bomblab10.png

首先符號表告訴我們這段數(shù)據(jù)的名字叫做input_strings也就是我們輸入的字符串，那么這個(gè)地址上的0 0代表的應(yīng)該就是我們的第4行輸入。兩個(gè)整型數(shù)字正好與格式化字符串也是匹配的?，F(xiàn)在我們知道，應(yīng)該在這兩個(gè)0之后再追加一個(gè)字符串作為輸入。

第15、16行對成功輸入的數(shù)據(jù)個(gè)數(shù)進(jìn)行了一個(gè)判斷，如果不為3個(gè)則跳過調(diào)用secret_phase的代碼。

第17-19行是對strings_not_equal的調(diào)用，我們已經(jīng)知道它的兩個(gè)參數(shù)分別是esi與edi，esi被賦上了一個(gè)地址值，edi被賦上了esp+0x10，我們可以推測出edi的地址就是指向我們讀入的第三個(gè)字符串的，那么需要比較的對象是什么呢？我們在運(yùn)行時(shí)查看內(nèi)存的內(nèi)容：

bomblab11.png

這就是我們需要的第三個(gè)參數(shù)。

可以看到如果第三個(gè)參數(shù)與上面這個(gè)字符串相同的話就會調(diào)用兩次puts輸出提示信息，然后進(jìn)入secret_phase階段。

0000000000401242 <secret_phase>:
  401242:   53                      push   %rbx
  401243:   e8 56 02 00 00          callq  40149e <read_line>
  401248:   ba 0a 00 00 00          mov    $0xa,%edx
  40124d:   be 00 00 00 00          mov    $0x0,%esi
  401252:   48 89 c7                mov    %rax,%rdi
  401255:   e8 76 f9 ff ff          callq  400bd0 <strtol@plt>
  40125a:   48 89 c3                mov    %rax,%rbx
  40125d:   8d 40 ff                lea    -0x1(%rax),%eax
  401260:   3d e8 03 00 00          cmp    $0x3e8,%eax
  401265:   76 05                   jbe    40126c <secret_phase+0x2a>
  401267:   e8 ce 01 00 00          callq  40143a <explode_bomb>
  40126c:   89 de                   mov    %ebx,%esi
  40126e:   bf f0 30 60 00          mov    $0x6030f0,%edi
  401273:   e8 8c ff ff ff          callq  401204 <fun7>
  401278:   83 f8 02                cmp    $0x2,%eax
  40127b:   74 05                   je     401282 <secret_phase+0x40>
  40127d:   e8 b8 01 00 00          callq  40143a <explode_bomb>
  401282:   bf 38 24 40 00          mov    $0x402438,%edi
  401287:   e8 84 f8 ff ff          callq  400b10 <puts@plt>
  40128c:   e8 33 03 00 00          callq  4015c4 <phase_defused>
  401291:   5b                      pop    %rbx
  401292:   c3                      retq   

可以看到第3行調(diào)用了read_line函數(shù)，接著把read_line的返回值賦給了rdi，并調(diào)用了strtol函數(shù)，這個(gè)標(biāo)準(zhǔn)庫函數(shù)的作用是把一個(gè)字符串轉(zhuǎn)換成對應(yīng)的長整型數(shù)值。返回值還是存放在rax中，第8行將rax復(fù)制給了rbx，第9行將rax減1賦給eax，第十行與0x3e8進(jìn)行比較，如果這個(gè)值小于等于0x3e8就跳過引爆代碼?？吹竭@里我們可以知道我們需要再加入一行數(shù)據(jù)，它應(yīng)該是一個(gè)小于等于1001的數(shù)值。

接下來將ebx賦給了esi，也就是我們一開始輸入的rax值。第14行將一個(gè)地址值賦給了edi，15行調(diào)用了fun7函數(shù)。我們還是先往下了解一下我們需要得到的結(jié)果。

函數(shù)返回后令返回值eax與0x2做了一個(gè)比較，如果相等則跳過引爆代碼。

所以我們需要返回2。

下面查看fun7的代碼：

0000000000401204 <fun7>:
  401204:   48 83 ec 08             sub    $0x8,%rsp
  401208:   48 85 ff                test   %rdi,%rdi
  40120b:   74 2b                   je     401238 <fun7+0x34>
  40120d:   8b 17                   mov    (%rdi),%edx
  40120f:   39 f2                   cmp    %esi,%edx
  401211:   7e 0d                   jle    401220 <fun7+0x1c>
  401213:   48 8b 7f 08             mov    0x8(%rdi),%rdi
  401217:   e8 e8 ff ff ff          callq  401204 <fun7>
  40121c:   01 c0                   add    %eax,%eax
  40121e:   eb 1d                   jmp    40123d <fun7+0x39>
  401220:   b8 00 00 00 00          mov    $0x0,%eax
  401225:   39 f2                   cmp    %esi,%edx
  401227:   74 14                   je     40123d <fun7+0x39>
  401229:   48 8b 7f 10             mov    0x10(%rdi),%rdi
  40122d:   e8 d2 ff ff ff          callq  401204 <fun7>
  401232:   8d 44 00 01             lea    0x1(%rax,%rax,1),%eax
  401236:   eb 05                   jmp    40123d <fun7+0x39>
  401238:   b8 ff ff ff ff          mov    $0xffffffff,%eax
  40123d:   48 83 c4 08             add    $0x8,%rsp
  401241:   c3                      retq   

第3、4兩行先對我們輸入的這個(gè)數(shù)作一個(gè)判斷，如果等于0直接跳到第19行，返回-1，這顯然不是我們想要的結(jié)果。

第5行將rdi的值讀入到了edx中，第6行則將這個(gè)數(shù)與我們讀入的數(shù)進(jìn)行比較，如果這個(gè)數(shù)小于等于我們讀入的數(shù)就跳至第12行，第12行將eax置0，再進(jìn)行一次相同的比較，如果相等則跳至第20行返回。

如果不等（也就是edx小于我們讀入的數(shù)），則繼續(xù)向下執(zhí)行第15行，這行代碼有些與之前的鏈表跳至下一個(gè)節(jié)點(diǎn)類似，到這里，我們就需要查看一下rdi這個(gè)地址里存放的是怎樣一種數(shù)據(jù)結(jié)構(gòu)：

bomblab12.png

仔細(xì)觀察可以發(fā)現(xiàn)這是一個(gè)二叉樹的結(jié)構(gòu)，每個(gè)節(jié)點(diǎn)第1個(gè)8字節(jié)存放數(shù)據(jù)，第2個(gè)8字節(jié)存放左子樹地址，第3個(gè)8字節(jié)存放右子樹位置。并且命令也有規(guī)律，nab，a代表層數(shù)，b代表從左至右第b個(gè)節(jié)點(diǎn)。

根據(jù)這個(gè)結(jié)構(gòu)，我們可以把樹畫出來以便我們進(jìn)行分析。隨意找了個(gè)工具表示一下：

bomblab13.png

下面我們回到代碼，現(xiàn)在我們知道第15行代碼的作用是將rdi移到它的右子樹的位置，接著調(diào)用fun7，在返回后令eax = 2 * rax + 1。

如果第6行的比較中樹節(jié)點(diǎn)的值大于我們讀入的數(shù)呢？

代碼會進(jìn)行到第8行，令rdi移到它的左子樹的位置，接下來調(diào)用fun7在返回后令eax = 2 * eax。下面跳至返回處。

總結(jié)上面的過程：edi指向一個(gè)樹的節(jié)點(diǎn)，令edi節(jié)點(diǎn)的值與我們讀入的值進(jìn)行比較。

• 如果兩者相等：返回0
• 如果前者大于后者：rdi移至左子樹，返回2 * rax
• 如果后者大于前者：rdi移至右子樹，返回2 * rax + 1

那么我們需要返回2，應(yīng)該在最后一次調(diào)用返回0，倒數(shù)第二次調(diào)用返回2 * rax + 1，第一次調(diào)用返回2 * rax。換句話說，這個(gè)數(shù)應(yīng)該在第三層，比父節(jié)點(diǎn)大且比根結(jié)節(jié)小。觀察上圖，唯一的答案是：

0x16（22）

至此，炸彈全部解除：

bomblab14.png

實(shí)驗(yàn)小結(jié)

整個(gè)實(shí)驗(yàn)包括秘密部分用時(shí)九個(gè)小時(shí)，引爆了3次炸彈（一次因?yàn)殄e(cuò)誤的嘗試，兩次因?yàn)閷?code>ni命令錯(cuò)打成n）。

一開始拿到題目的時(shí)候會比較蒙，需要先去學(xué)習(xí)工具的使用與一些編譯的基礎(chǔ)知道（符號表、定址表等等）花費(fèi)了一些時(shí)間。前幾個(gè)階段過于關(guān)注函數(shù)的具體實(shí)現(xiàn)而沒有根據(jù)常識去推測一些明顯函數(shù)的作用花費(fèi)了一些時(shí)間。

前4個(gè)階段都算比較簡單，考查了一些常用結(jié)構(gòu)在匯編中的出現(xiàn)形式。第5、6與秘密階段分別考察了堆、鏈表、二叉樹這三個(gè)數(shù)據(jù)結(jié)構(gòu)在內(nèi)存中的結(jié)構(gòu)與匯編級的使用，受益良多。

這個(gè)實(shí)驗(yàn)需要細(xì)致的分析與大膽的猜測與實(shí)驗(yàn)驗(yàn)證，還需要小心操作，最重要的是耐心，面對非常晦澀的匯編代碼如何一步步地弄清代碼的作用很需要毅力。當(dāng)然也可以通過自己寫出等價(jià)的C代碼來幫助自己理解。