Question

由于我的炸弹阶段3看起来不像我的同学或我的教授给我的例子，所以老实说我很困惑。任何帮助将不胜感激。我有我最近使用的终端的副本和生病了我已经尝试了5个小时的大部分时间，我已经足够知道％d％d是所要求的布局，并且它要求2个数字，我认为其中一个是负数。由于比较声明和jg在这里

   0x08048fbb <+39>:    cmp    $0x1,%eax
   0x08048fbe <+42>:    jg     0x8048fc5 <phase_3+49>

另外，它要求另一个相同值的比较，我认为这是第一个

   0x08048fc5 <+49>:    cmpl   $0x7,-0xc(%ebp)
   0x08048fc9 <+53>:    ja     0x8049032 <phase_3+158>

什么让我失望的是所有加入和减去的权利，一般来说所有的加法和减法都塞进了底部。

我会在哪里找到实际上与这些语句一起使用的值，我应该将我看到的数字加起来。在这一点上，我甚至不知道它是否盯着我的脸。所有比较如下

   0x08048fbb <+39>:    cmp    $0x1,%eax

0x08048fbe＆lt; + 42＆gt;：jg 0x8048fc5

 0x08048fc5 <+49>:    cmpl   $0x7,-0xc(%ebp)
   0x08048fc9 <+53>:    ja     0x8049032 <phase_3+158>

   0x0804903c <+168>:   cmpl   $0x5,-0xc(%ebp)
   0x08049040 <+172>:   jg     0x8049047 <phase_3+179>

但此刻此刻我需要对这个问题有一套新观点。如果它在那里任何帮助将不胜感激。

That's number 2.  Keep going!
0 1

Breakpoint 1, 0x08048f9a in phase_3 ()
(gdb) disas
Dump of assembler code for function phase_3:
   0x08048f94 <+0>:     push   %ebp
   0x08048f95 <+1>:     mov    %esp,%ebp
   0x08048f97 <+3>:     sub    $0x28,%esp
=> 0x08048f9a <+6>:     lea    -0x10(%ebp),%eax
   0x08048f9d <+9>:     mov    %eax,0xc(%esp)
   0x08048fa1 <+13>:    lea    -0xc(%ebp),%eax
   0x08048fa4 <+16>:    mov    %eax,0x8(%esp)
   0x08048fa8 <+20>:    movl   $0x804a58c,0x4(%esp)
   0x08048fb0 <+28>:    mov    0x8(%ebp),%eax
   0x08048fb3 <+31>:    mov    %eax,(%esp)
   0x08048fb6 <+34>:    call   0x8048894 <__isoc99_sscanf@plt>
   0x08048fbb <+39>:    cmp    $0x1,%eax
   0x08048fbe <+42>:    jg     0x8048fc5 <phase_3+49>
   0x08048fc0 <+44>:    call   0x8049321 <explode_bomb>
   0x08048fc5 <+49>:    cmpl   $0x7,-0xc(%ebp)
   0x08048fc9 <+53>:    ja     0x8049032 <phase_3+158>
   0x08048fcb <+55>:    mov    -0xc(%ebp),%eax
   0x08048fce <+58>:    xchg   %ax,%ax
   0x08048fd0 <+60>:    jmp    *0x804a4c0(,%eax,4)
   0x08048fd7 <+67>:    mov    $0x0,%eax
   0x08048fdc <+72>:    lea    0x0(%esi,%eiz,1),%esi
   0x08048fe0 <+76>:    jmp    0x804902d <phase_3+153>
   0x08048fe2 <+78>:    mov    $0x0,%eax
   0x08048fe7 <+83>:    jmp    0x804902a <phase_3+150>
   0x08048fe9 <+85>:    mov    $0x0,%eax
   0x08048fee <+90>:    xchg   %ax,%ax
   0x08048ff0 <+92>:    jmp    0x8049027 <phase_3+147>
   0x08048ff2 <+94>:    mov    $0x0,%eax
   0x08048ff7 <+99>:    jmp    0x8049024 <phase_3+144>
   0x08048ff9 <+101>:   mov    $0x0,%eax
   0x08048ffe <+106>:   xchg   %ax,%ax
   0x08049000 <+108>:   jmp    0x8049021 <phase_3+141>
   0x08049002 <+110>:   mov    $0x0,%eax
   0x08049007 <+115>:   jmp    0x804901c <phase_3+136>
   0x08049009 <+117>:   mov    $0x30d,%eax
   0x0804900e <+122>:   xchg   %ax,%ax
   0x08049010 <+124>:   jmp    0x8049017 <phase_3+131>
   0x08049012 <+126>:   mov    $0x0,%eax
   0x08049017 <+131>:   sub    $0x264,%eax
   0x0804901c <+136>:   add    $0x3b8,%eax
   0x08049021 <+141>:   sub    $0x49,%eax
   0x08049024 <+144>:   add    $0x49,%eax
   0x08049027 <+147>:   sub    $0x49,%eax
   0x0804902a <+150>:   add    $0x49,%eax
   0x0804902d <+153>:   sub    $0x49,%eax
   0x08049030 <+156>:   jmp    0x804903c <phase_3+168>
   0x08049032 <+158>:   call   0x8049321 <explode_bomb>
   0x08049037 <+163>:   mov    $0x0,%eax
   0x0804903c <+168>:   cmpl   $0x5,-0xc(%ebp)
   0x08049040 <+172>:   jg     0x8049047 <phase_3+179>
   0x08049042 <+174>:   cmp    -0x10(%ebp),%eax
   0x08049045 <+177>:   je     0x804904c <phase_3+184>
   0x08049047 <+179>:   call   0x8049321 <explode_bomb>
   0x0804904c <+184>:   leave
   0x0804904d <+185>:   lea    0x0(%esi),%esi
   0x08049050 <+188>:   ret
End of assembler dump.
(gdb)

Answer 1

您提到的第一个比较（+39处的比较）是比较保留%eax的返回值的sscanf。因此，它只是测试可以转换多少个参数。此代码需要2，因此该代码正在执行if (sscanf() > 1) goto ok; explode_bomb();

+49的比较是检查第一个数字，它if ((unsigned)x > 7) explode_bomb();我希望这很明显。

接下来，在+60，您可以在这段代码中获得最重要的一条指令：jmp *0x804a4c0(,%eax,4)。这是跳过跳转表。它将根据%eax中的值将您带到不同的位置，此时此时您将保留第一个输入。我们知道输入介于0和7之间，因此您在该表中有8个条目。您应该能够使用x/8a 0x804a4c0检查它们。可以肯定的是，它们是以下代码块中的各种地址，并且流程在+163处重新加入。编译器通常使用此模式来实现switch语句。

行+168进一步将第一个数字限制在0和5之间，而行+174将第二个数字与%eax的当前值进行比较，在不匹配的情况下爆炸炸弹。这告诉我们的是有效输入形成6对。我们可以选择一个任意的第一个数字，然后按照跳转表查看%eax中的值，并输入第二个数字。

二元炸弹阶段3卡住了

1 个答案: