我已经获得了一个原本用C编写的可执行文件,它可以玩一个猜谜游戏。我作为玩家应该猜测5个数字,如果我做对了,炸弹就不会消失。然而,一旦我想念一个,我就输了,炸弹爆炸了。到目前为止,我解决这个问题的方法是反汇编可执行文件并尝试从那里读取解决方案。我知道在某些时候,会调用 strcmp 函数,这意味着我的猜测与键值之前会存储在寄存器中。我失去的是在哪里找到它,以及如何访问存储该数字的正确字符串。
这是我已经获得的汇编程序代码:
0804856a <main>:
804856a: 55 push %ebp
804856b: 89 e5 mov %esp,%ebp
804856d: 83 e4 f0 and $0xfffffff0,%esp
8048570: 57 push %edi
8048571: 56 push %esi
8048572: 53 push %ebx
8048573: 81 ec 14 02 00 00 sub $0x214,%esp //prologue code ends
8048579: 8b 35 fc 98 04 08 mov 0x80498fc,%esi
804857f: 83 7d 08 02 cmpl $0x2,0x8(%ebp)
8048583: 75 18 jne 804859d <main+0x33>
8048585: c7 44 24 04 fb 86 04 movl $0x80486fb,0x4(%esp)
804858c: 08
804858d: 8b 45 0c mov 0xc(%ebp),%eax
8048590: 8b 40 04 mov 0x4(%eax),%eax
8048593: 89 04 24 mov %eax,(%esp)
8048596: e8 65 fe ff ff call 8048400 <fopen@plt>
804859b: 89 c6 mov %eax,%esi
804859d: bb 01 00 00 00 mov $0x1,%ebx
80485a2: bf e4 98 04 08 mov $0x80498e4,%edi
80485a7: 3b 35 fc 98 04 08 cmp 0x80498fc,%esi
80485ad: 75 10 jne 80485bf <main+0x55>
80485af: 89 5c 24 04 mov %ebx,0x4(%esp)
80485b3: c7 04 24 fd 86 04 08 movl $0x80486fd,(%esp)
80485ba: e8 51 fe ff ff call 8048410 <printf@plt>
80485bf: 89 74 24 08 mov %esi,0x8(%esp)
80485c3: c7 44 24 04 00 02 00 movl $0x200,0x4(%esp)
80485ca: 00
80485cb: 8d 44 24 10 lea 0x10(%esp),%eax
80485cf: 89 04 24 mov %eax,(%esp)
80485d2: e8 09 fe ff ff call 80483e0 <fgets@plt>
80485d7: 85 c0 test %eax,%eax
80485d9: 74 22 je 80485fd <main+0x93>
80485db: 8b 14 9f mov (%edi,%ebx,4),%edx
80485de: 89 54 24 04 mov %edx,0x4(%esp)
80485e2: 89 04 24 mov %eax,(%esp)
80485e5: e8 56 fe ff ff call 8048440 <strcmp@plt> //call to strcmp, so the two parameters (my guess vs. key) must be stored before it.
80485ea: 85 c0 test %eax,%eax
80485ec: 74 05 break<main+0x89>
80485ee: e8 4d ff ff ff call 8048540 <bomb>
80485f3: 83 c3 01 add $0x1,%ebx
80485f6: 83 fb 05 cmp $0x5,%ebx
80485f9: 7e ac jle 80485a7 <main+0x3d>
80485fb: eb 05 jmp 8048602 <main+0x98>
80485fd: 83 fb 05 cmp $0x5,%ebx
8048600: 7e a5 jle 80485a7 <main+0x3d>
8048602: e8 19 ff ff ff call 8048520 <success>
8048607: b8 00 00 00 00 mov $0x0,%eax
804860c: 81 c4 14 02 00 00 add $0x214,%esp //epilogue code begins
8048612: 5b pop %ebx
8048613: 5e pop %esi
8048614: 5f pop %edi
8048615: 89 ec mov %ebp,%esp
8048617: 5d pop %ebp
8048618: c3 ret
到目前为止,在这个项目中,我一直在使用GNU调试器来试图通过该程序。但是,我似乎无法理解它。这是我第一次接触x86 asm。我的理论是,字符串必须保存在80485db / de / e2行的%edi /%edx /%eax中,但我不明白这些字符串将如何存储在那里,而不是如何获取它们。我非常感谢更有经验的程序员的帮助,因为这让我困惑了好几天。
答案 0 :(得分:1)
您已正确识别80485db周围的关键区域。让我们从strcmp电话后退。需要比较两个操作数,它们放在寄存器%eax和%edx的前两行中的堆栈中。我们可以看到%eax是来自fgets的返回值,它只是输入的文本。 %edx加载mov (%edi,%ebx,4),%edx,遗憾的是,它依赖于另外两个寄存器。 %edi更容易,它由mov $0x80498e4,%edi设置为常量地址。 %ebx在1初始化为804859d,然后在80485f3处递增,之后与5进行比较。因此我们可以看到它是循环计数器,显示我们正在处理的输入。将这一切放在一起意味着从包含预期字符串的数组中加载%edx。第一个字符串将位于0x80498e4+4,因为ebx从1开始。因此,gdb中的x/5s *0x80498e8应该显示释放炸弹所需的输入。