炸弹实验室第4阶段func4

时间:2016-10-22 18:52:33

标签: c assembly x86 reverse-engineering disassembly

我的二进制炸弹phase_4的密码有问题。

到目前为止,我明白了...... 输入必须是2个整数(第29行)

并且当从中减去2时,第二个整数应该<=大于或等于2(第38-44行)。这意味着它应该是2-4号

然后,它调用func4,并将func4的输出与rsp(我已完成一些测试,rsp始终为0)进行比较,因此我需要找到一个在输入func4时返回0的数字。

令我困惑的是:如果func4的结果需要为0,那意味着它的输入应为0.考虑到phase_4中的第38行,它从我的输入中减去2,这应该意味着我的第二个应该是2 ...?但是我已经尝试了它,它使它在第46行爆炸,因为它不满足第一次比较。

我尝试了类似(0 2)(2 0)(0 1)(0 3)的数字,但都失败了。有什么建议指引我正确的方向?谢谢!

phase_4:
   0x000000000040101e <+0>: sub    $0x18,%rsp
   0x0000000000401022 <+4>: lea    0xc(%rsp),%rcx
   0x0000000000401027 <+9>: lea    0x8(%rsp),%rdx
   0x000000000040102c <+14>:    mov    $0x4027cd,%esi
   0x0000000000401031 <+19>:    mov    $0x0,%eax
   0x0000000000401036 <+24>:    callq  0x400c30 <__isoc99_sscanf@plt>
   0x000000000040103b <+29>:    cmp    $0x2,%eax        //check if 2 inputs
   0x000000000040103e <+32>:    jne    0x40104c <phase_4+46>
   0x0000000000401040 <+34>:    mov    0xc(%rsp),%eax   
=> 0x0000000000401044 <+38>:    sub    $0x2,%eax        
   0x0000000000401047 <+41>:    cmp    $0x2,%eax
   0x000000000040104a <+44>:    jbe    0x401051 <phase_4+51>//if unsigned eax <= 2
   0x000000000040104c <+46>:    callq  0x401554 <explode_bomb>
   0x0000000000401051 <+51>:    mov    0xc(%rsp),%esi  
   0x0000000000401055 <+55>:    mov    $0x7,%edi      
   0x000000000040105a <+60>:    callq  0x400fe6 <func4>
   0x000000000040105f <+65>:    cmp    0x8(%rsp),%eax  //comparing eax to 0
   0x0000000000401063 <+69>:    je     0x40106a <phase_4+76> 
   0x0000000000401065 <+71>:    callq  0x401554 <explode_bomb> //explode if output != 0
   0x000000000040106a <+76>:    add    $0x18,%rsp
   0x000000000040106e <+80>:    retq 
Func4
   0x0000000000400fe6 <+0>: push   %r12
   0x0000000000400fe8 <+2>: push   %rbp
   0x0000000000400fe9 <+3>: push   %rbx
   0x0000000000400fea <+4>: mov    %edi,%ebx
   0x0000000000400fec <+6>: test   %edi,%edi
   0x0000000000400fee <+8>: jle    0x401014 <func4+46> //if input <= 0
   0x0000000000400ff0 <+10>:    mov    %esi,%ebp
   0x0000000000400ff2 <+12>:    mov    %esi,%eax
   0x0000000000400ff4 <+14>:    cmp    $0x1,%edi
   0x0000000000400ff7 <+17>:    je     0x401019 <func4+51>
   0x0000000000400ff9 <+19>:    lea    -0x1(%rdi),%edi
   0x0000000000400ffc <+22>:    callq  0x400fe6 <func4>
   0x0000000000401001 <+27>:    lea    (%rax,%rbp,1),%r12d
   0x0000000000401005 <+31>:    lea    -0x2(%rbx),%edi
   0x0000000000401008 <+34>:    mov    %ebp,%esi
   0x000000000040100a <+36>:    callq  0x400fe6 <func4>
   0x000000000040100f <+41>:    add    %r12d,%eax
   0x0000000000401012 <+44>:    jmp    0x401019 <func4+51>
   0x0000000000401014 <+46>:    mov    $0x0,%eax  //make return val 0
   0x0000000000401019 <+51>:    pop    %rbx
   0x000000000040101a <+52>:    pop    %rbp
   0x000000000040101b <+53>:    pop    %r12
   0x000000000040101d <+55>:    retq 

1 个答案:

答案 0 :(得分:1)

  

然后,它调用func4,并将func4的输出与rsp进行比较(其中   我做了一些测试,rsp总是0)所以我需要找一个数字   当输入func4时返回0。

这是不正确的。 func4的输出与[rsp + 8]进行比较,其中存储了第一个数字。

如果我们将所需的输入写为(a, b),那么我们会a = func4 (7, b)2 <= b <= 4

现在你需要弄清楚func4 (x, y)的作用。提示:它取决于y以及依赖于x的索引处的斐波纳契数列的值。

要理解func4我建议您将其转换为C.有关说明,请参阅此question的答案。请注意,如果您已将其转换为C,则可以正确理解phase_4