简介

Bomb Lab是深入理解计算机系统(CS:APP)的实验作业之一，它提供了一个“二进制炸弹”目标文件。这个程序运行时会提示用户键入6个不同的字符串。如果其中任何一个不正确，炸弹就会“爆炸”，打印错误消息并将向评分服务器上发送请求。学生必须通过反汇编和逆向工程程序来“拆除”自己独特的炸弹，以确定6个字符串应该是什么。

真实实验时答案是不一样的，官方网站提供了一个禁用了评分服务器的公开版本Linux / x86-64二进制炸弹程序，本文基于该Bomb文件进行破解。

章节

全部破解过程将分几篇文章：

• 简介与准备
• [pharse1-3]
• [pharse4-5]
• [pharse6]

破解前准备

文件结构

程序下下来是一个tar包，里面包括bomb目标文件、一个简单描述流程的bomb.c代码、一个Readme文档。

工具准备

官方文档里推荐了如下工具：

• gdb : GNU Debugger，用于调试代码，设置断点，查看各寄存器数值
• objdump -t : 打印bomb的符号表，符号表中包括所有函数和全局变量的名字
• objdump -d : 对代码进行反编译，但需要注意系统函数的调用中sscanf这种函数会被显示为<_init+0x1a0>
• strings : 显示所有bomb中的可打印字符

同时，除了日常查看代码中使用到的文本编辑器VS Code之外，还有一个大杀器——IDA Pro，这个专门用于逆向工程的工具，直接可以生成程序运行框图。

总体程序结构

结构分析

在Bomb.c中可以看到，程序最开始处理了输入参数输入文件名的情况，此后用initialize_bomb()函数做了一些操作，接下来就是读入每行输入phase_n(input)判断是否符合需要的输入，完成后则通过phase_defused()函数解除该问题的“引信”，总共进行6次该流程。

总体框图如下：

总体框图

数据段

通过反编译的源代码，我们可以看到每个phase_n(input)的函数，里面结构基本都是对输入做各种操作并判断比较的流程。以最简单的phase_1为例：

0000000000400ee0 <phase_1>:
  400ee0:   48 83 ec 08             sub    $0x8,%rsp
  400ee4:   be 00 24 40 00          mov    $0x402400,%esi
  400ee9:   e8 4a 04 00 00          callq  401338 <strings_not_equal>
  400eee:   85 c0                   test   %eax,%eax
  400ef0:   74 05                   je     400ef7 <phase_1+0x17>
  400ef2:   e8 43 05 00 00          callq  40143a <explode_bomb>
  400ef7:   48 83 c4 08             add    $0x8,%rsp
  400efb:   c3                      retq   

phase1框图

explode_bomb函数分析

分析可以发现，每个阶段炸弹爆炸的关键流程都在explode_bomb里，下载版本explode_bomb很简单：

000000000040143a <explode_bomb>:
  40143a:   48 83 ec 08             sub    $0x8,%rsp
  40143e:   bf a3 25 40 00          mov    $0x4025a3,%edi
  401443:   e8 c8 f6 ff ff          callq  400b10 <puts@plt>
  401448:   bf ac 25 40 00          mov    $0x4025ac,%edi
  40144d:   e8 be f6 ff ff          callq  400b10 <puts@plt>
  401452:   bf 08 00 00 00          mov    $0x8,%edi
  401457:   e8 c4 f7 ff ff          callq  400c20 <exit@plt>

explode

除了打印两行字就没了，不过根据程序里遗留的driver_post函数里的submitr函数等，里面有各种给changeme.ics.cs.cmu.edu发送GET请求的函数，应该是向服务器发送相关操作的代码。

initialize_bomb在弄啥呢

程序开始有一个initialize_bomb()函数，Mr.Evil还贱贱地说：“/* Do all sorts of secret stuff that makes the bomb harder to defuse. */”

通过IDA可以看到里面是如下结构：

init

里面

  4013b0:   e8 db f7 ff ff          callq  400b90 <signal@plt>

调用了signal的系统函数，注册了一个handler，转换为C语言应该是如下代码：

initialize_bomb() {
  signal(2, sig_handler)
}

signal系统函数定义中，2对应SIGINT，(Signal Interrupt) 中断信号，如 ctrl-C。该函数主要用于用户ctrl-C退出时，执行sig_handler函数

sig

函数用sleep让退出速度变慢。

破解前处理

上面分析了explode_bomb和initialize_bomb的流程，在破解之前需要对这些函数做些处理。为了屏蔽掉相关函数，需要把explode_bomb和initialize_bomb的关键调用去掉，先把这个炸弹变得“哑火”。

这里用到的是书中提到的"空操作雪橇(nop sled)"，在对应位置把callq替换为nop指令，直接跳过callq相关参数的操作。

具体的修改方法可以是用vim打开可执行文件，键入:%!xxd切换到十六进制查看编辑模式，修改相应的字节后输入:%!xxd -r转换为正常显示模式后保存即可。

00000000004013a2 <initialize_bomb>:
  4013a2:   48 83 ec 08             sub    $0x8,%rsp
  4013a6:   be a0 12 40 00          mov    $0x4012a0,%esi
  4013ab:   bf 02 00 00 00          mov    $0x2,%edi
  4013b0:   90                      nop
  4013b1:   90                      nop
  4013b2:   90                      nop
  4013b3:   90                      nop
  4013b4:   90                      nop
  4013b5:   48 83 c4 08             add    $0x8,%rsp
  4013b9:   c3                      retq   

不删除相关语句，主要是基于jmp跳转会跟一个相对位置，直接删除很可能就跳飞了。

解除了这几个函数之后，接下来就要进入正式破解阶段了

To be continue...

查看更多文章请访问我的博客——左旋异构
本文地址：深入理解计算机系统(CS:APP) Bomb Lab 破解 - 1