CSAPP bomblab 作弊方式通关: gdb set 命令的使用

2024-01-14 20:12

本文主要是介绍CSAPP bomblab 作弊方式通关: gdb set 命令的使用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

bomblab 的博客、视频挺多的,但是步骤都太“友善”了。既然每次都是 explode_bomb 函数爆炸的,那么不执行这个函数不就完事儿了吗?这的确是“作弊”,但是我的目的不在于得到每一个 phase 的正确答案, 而是希望每个 phase 随便输入,但是仍然能通关。

一种方式是修改二进制文件 bomb, 我暂时不会。

另一种方式,是在 gdb 运行期间, 使用 set 命令修改 call explode_bomb 汇编指令为 nop 指令,那么程序就能继续往下运行, 而不是由于 explode_bomb() 中的 call exit 导致结束。本篇讲使用set的具体做法。

文章目录

    • 1. 最小例子
    • 2. 在 bomb 可执行文件上实验的记录
      • 2.1 把 call explode_bomb 改为 nop
      • 2.2 自动化上述打印断点+set修改call explode_bomb()为nop的过程
    • 3. 总结

1. 最小例子

直接修改 call explode_bomb() 的过程,过于庞大。先弄懂这个简化的例子,其他都能搞定:

test2.c:

#include <stdio.h>
#include <stdlib.h>static void die()
{printf("You lose\n");exit(1);
}static void congrat()
{printf("You win!\n");return;
}int main()
{die();congrat();return 0;
}

正常执行 test.c, 会看到 “You lose”。我们希望在gdb里做手脚,使得gdb里能够看到 “You Win!” 的输出。

关键命令:

set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}

完整命令

(gdb) start
Temporary breakpoint 1 at 0x11ac
Starting program: /home/zz/work/zcnn/csapp/bomblab/a.out
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".Temporary breakpoint 1, 0x00005555555551ac in main ()
(gdb) disassemble
Dump of assembler code for function main:0x00005555555551a4 <+0>:     endbr640x00005555555551a8 <+4>:     push   rbp0x00005555555551a9 <+5>:     mov    rbp,rsp
=> 0x00005555555551ac <+8>:     mov    eax,0x00x00005555555551b1 <+13>:    call   0x555555555169 <die>0x00005555555551b6 <+18>:    mov    eax,0x00x00005555555551bb <+23>:    call   0x55555555518a <congrat>0x00005555555551c0 <+28>:    mov    eax,0x00x00005555555551c5 <+33>:    pop    rbp0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) ni
0x00005555555551b1 in main ()
(gdb) disassemble
Dump of assembler code for function main:0x00005555555551a4 <+0>:     endbr640x00005555555551a8 <+4>:     push   rbp0x00005555555551a9 <+5>:     mov    rbp,rsp0x00005555555551ac <+8>:     mov    eax,0x0
=> 0x00005555555551b1 <+13>:    call   0x555555555169 <die>0x00005555555551b6 <+18>:    mov    eax,0x00x00005555555551bb <+23>:    call   0x55555555518a <congrat>0x00005555555551c0 <+28>:    mov    eax,0x00x00005555555551c5 <+33>:    pop    rbp0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) set {char[5]}0x00005555555551b1={0x90,0x90,0x90,0x90,0x90}
(gdb) disassemble
Dump of assembler code for function main:0x00005555555551a4 <+0>:     endbr640x00005555555551a8 <+4>:     push   rbp0x00005555555551a9 <+5>:     mov    rbp,rsp0x00005555555551ac <+8>:     mov    eax,0x0
=> 0x00005555555551b1 <+13>:    nop0x00005555555551b2 <+14>:    nop0x00005555555551b3 <+15>:    nop0x00005555555551b4 <+16>:    nop0x00005555555551b5 <+17>:    nop0x00005555555551b6 <+18>:    mov    eax,0x00x00005555555551bb <+23>:    call   0x55555555518a <congrat>0x00005555555551c0 <+28>:    mov    eax,0x00x00005555555551c5 <+33>:    pop    rbp0x00005555555551c6 <+34>:    ret
End of assembler dump.
(gdb) c
Continuing.
You win!
[Inferior 1 (process 91783) exited normally]

2. 在 bomb 可执行文件上实验的记录

2.1 把 call explode_bomb 改为 nop

我们在 bomblab phase_1 上做实验。预期的效果是,随便输入一个字符串,例如 “hello”, 都能看到第一关通关后的提示:

Phase 1 defused. How about the next one?

具体做法:先通过反汇编找到 call explode_bomb 指令的地址,设定断点;然后运行程序, 在到达断点之前或刚刚到断点的地方时, 用 set 指令修改断点处的5个byte的内存,全都改为nop。

设置断点

(gdb) disassemble phase_1
Dump of assembler code for function phase_1:0x0000000000400ee0 <+0>:     sub    rsp,0x80x0000000000400ee4 <+4>:     mov    esi,0x4024000x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>0x0000000000400eee <+14>:    test   eax,eax0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) b *0x400ef2
Breakpoint 1 at 0x400ef2

运行程序

(gdb) r
hello  # 这是phase_1()中执行read_line()时,输入的字符串

别小看这一步,不执行的话,直接执行后续的 set 命令会被提示修改无效

用set命令修改内存

(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}

在执行这一命令后,原本的 call 0x40143a <explode_bomb> 被替换为 nop。也就是,原来是:

=> 0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret

现在再执行 disassemble, 看到的是:

=> 0x0000000000400ef2 <+18>:    nop0x0000000000400ef3 <+19>:    nop0x0000000000400ef4 <+20>:    nop0x0000000000400ef5 <+21>:    nop0x0000000000400ef6 <+22>:    nop0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret

继续执行

(gdb) c
Continuing.
Phase 1 defused. How about the next one?

没错,看到了预期的输出,意思是“祝贺你通过了第一关”。

为什么是5个nop

因为 x86 架构中, call 指令的长度是确定的,是5个字节:1 个字节的操作码,后面跟着 4 个字节的偏移量。

例如,一个 call 指令可能看起来像这样(在机器码中):

E8 xx xx xx xx

其中 E8 是 call 指令的操作码,后面的 xx xx xx xx 是目标地址与下一条指令地址之间的偏移量。

也可以在 gdb 中检查:

(gdb) x /5xb 0x0000000000400ef2
0x400ef2 <phase_1+18>:  0xe8    0x43    0x05    0x00    0x00

其中 /5xb 的解释:

在 GDB 的 x 命令中,/5xb 是一个参数字符串,它指定了如何显示内存内容。下面是它的分解和解释:x:这是 GDB 中的 "examine" 命令的简写,用于检查内存中的内容。/:这是一个分隔符,用于分隔命令和其参数。5:这个数字指定了要检查的单位数量。在这个例子中,它告诉 GDB 显示 5 个单位。x:这是一个格式说明符,它告诉 GDB 以十六进制格式显示内存内容。在 GDB 中,x 用于十六进制,d 用于十进制,u 用于无符号十进制,t 用于二进制,o 用于八进制,a 用于地址,c 用于字符,f 用于浮点数,等等。b:这是一个单位大小说明符,它告诉 GDB 每个单位应该是多大。在这个例子中,b 表示字节(byte)。其他选项包括 h(半字,halfword,通常是 2 字节),w(字,word,通常是 4 字节),g(巨字,giant word,通常是 8 字节)。综合起来,x /5xb 命令告诉 GDB 以十六进制格式显示从指定地址开始的 5 个字节。这是在调试程序时检查内存内容的常用方法。

完整的gdb命令执行记录

(gdb) file bomb
Reading symbols from bomb...
(gdb) disassemble phase_1
Dump of assembler code for function phase_1:0x0000000000400ee0 <+0>:     sub    rsp,0x80x0000000000400ee4 <+4>:     mov    esi,0x4024000x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>0x0000000000400eee <+14>:    test   eax,eax0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) b *0x0000000000400ef2
Breakpoint 1 at 0x400ef2
(gdb) c
The program is not being run.
(gdb) r
Starting program: /home/zz/work/zcnn/csapp/bomblab/bomb
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
helloBreakpoint 1, 0x0000000000400ef2 in phase_1 ()
(gdb) disassemble
Dump of assembler code for function phase_1:0x0000000000400ee0 <+0>:     sub    rsp,0x80x0000000000400ee4 <+4>:     mov    esi,0x4024000x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>0x0000000000400eee <+14>:    test   eax,eax0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>:    call   0x40143a <explode_bomb>0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) set {char[5]}0x0000000000400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
(gdb) disassemble
Dump of assembler code for function phase_1:0x0000000000400ee0 <+0>:     sub    rsp,0x80x0000000000400ee4 <+4>:     mov    esi,0x4024000x0000000000400ee9 <+9>:     call   0x401338 <strings_not_equal>0x0000000000400eee <+14>:    test   eax,eax0x0000000000400ef0 <+16>:    je     0x400ef7 <phase_1+23>
=> 0x0000000000400ef2 <+18>:    nop0x0000000000400ef3 <+19>:    nop0x0000000000400ef4 <+20>:    nop0x0000000000400ef5 <+21>:    nop0x0000000000400ef6 <+22>:    nop0x0000000000400ef7 <+23>:    add    rsp,0x80x0000000000400efb <+27>:    ret
End of assembler dump.
(gdb) c
Continuing.
Phase 1 defused. How about the next one?

2.2 自动化上述打印断点+set修改call explode_bomb()为nop的过程

基本思路: 生成一个脚本 gdb_script.txt, gdb 启动时指定要执行这个脚本,gdb启动后先执行脚本中的内容,然后再按正常的程序一样去执行(此时用户可以交互式的输入、看到输出)。

关于 gdb_script.txt 的内容,是用 Python 脚本生成, 是在可执行程序 bomb 的反汇编代码中,找到所有的 call explode_bomb 语句,把这些语句所在的内存地址拿出来, 并对每个地址生成一句 set 指令来修改为5个 nop。此外,需要增加 start 指令, 使得 set 命令能够生效。

使用的 Python 脚本如下:

#!/usr/bin/env python3
import subprocess# 替换为你的程序名和explode_bomb的确切名称
PROGRAM = "bomb"
EXPLODE_BOMB_FUNCTION = "explode_bomb"# 使用 objdump 获取反汇编代码,并查找所有调用 explode_bomb 的行
cmd = f"objdump -d {PROGRAM} | grep 'call.*<{EXPLODE_BOMB_FUNCTION}>'"
result = subprocess.check_output(cmd, shell=True).decode('utf-8')# 处理结果,移除地址后面的冒号,并添加 0x 前缀
gdb_commands = ["start"]  # Start the program and stop at the beginning of main
for line in result.strip().split('\n'):address = line.split()[0].rstrip(':')# Replace call instruction with 5 nops (assuming call instruction is 5 bytes)gdb_commands.append(f"set {{char[5]}}0x{address} = {{0x90, 0x90, 0x90, 0x90, 0x90}}")# 将 GDB 命令写入 gdb_script.txt 文件
gdb_script = 'gdb_script.txt'
with open(gdb_script, 'w') as f:f.write('\n'.join(gdb_commands) + '\n')f.write('continue\n')  # Continue execution after setting breakpointsprint(f"GDB命令文件已生成:{gdb_script}")
print(f"在GDB中使用命令 'source {gdb_script}' 来设置断点并运行程序。")

生成的 gdb_script.txt:

start
set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f10 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f20 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400f65 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fad = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x400fc4 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401035 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401058 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401084 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4010c6 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401123 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401140 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x4011e9 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401267 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x40127d = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401494 = {0x90, 0x90, 0x90, 0x90, 0x90}
set {char[5]}0x401595 = {0x90, 0x90, 0x90, 0x90, 0x90}
continue

启动 gdb 程序的命令如下:

gdb -x gdb_script.txt ./bomb

程序执行结果: 前5关能顺序执行,第6关报告segment fault:

Temporary breakpoint 1, main (argc=1, argv=0x7fffffffd988) at bomb.c:37
37      {
Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2.  Keep going!
3
Halfway there!
4
So you got that one.  Try this one.
5
Good work!  On to the next...
6Program received signal SIGSEGV, Segmentation fault.
0x00000000004011c0 in phase_6 ()

其中每一关的输入,我只输入了一个数字。第6关失败是因为需要输入6个数字,我改为输入6个数字后就成功的“作弊”通关了:

Welcome to my fiendish little bomb. You have 6 phases with
which to blow yourself up. Have a nice day!
1
Phase 1 defused. How about the next one?
2
That's number 2.  Keep going!
3
Halfway there!
4
So you got that one.  Try this one.
5
Good work!  On to the next...
1 2 3 4 5 6
Congratulations! You've defused the bomb!
[Inferior 1 (process 84917) exited normally]

3. 总结

  1. 在调用某个函数的地方,设置断点

需要先根据汇编代码,找到 call explode_bomb 汇编指令对应的内存地址,例如地址是 0x400b10, 那么输入 break *0x400b10 来打断点。

而如果执行 break explode_bomb, 则是进入到了 explode_bomb 函数里的第一句,此时已经晚了,不能用 set 修改 call explode_bomb 为 nop 了

  1. 自动化执行 gdb 命令

gdb 可以被交互方式使用, 也可以把需要执行的命令, 提前准备好到一个文本中, 启动 gdb 时传入 -x xxx.txt 来启动:

gdb -x gdb_script.txt ./bomb
  1. gdb_script.txt 内容

set 命令是改内存, 需要先让程序启动, 最佳方式是先执行 start 命令, 会让程序加载进来,在main入口暂停

使用 Python 并结合 shell 命令, 相比于一水儿的 shell 命令, 代码虽然多了,但是更容易写出来。

  1. set 命令举例:把 call xxx 改为5个 nop:

set {char[5]}0x400ef2 = {0x90, 0x90, 0x90, 0x90, 0x90}

  1. 上述修改,是在 gdb 运行前、gdb 运行中修改的, 并不会修改可执行程序本身。

这篇关于CSAPP bomblab 作弊方式通关: gdb set 命令的使用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/606385

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

30常用 Maven 命令

Maven 是一个强大的项目管理和构建工具,它广泛用于 Java 项目的依赖管理、构建流程和插件集成。Maven 的命令行工具提供了大量的命令来帮助开发人员管理项目的生命周期、依赖和插件。以下是 常用 Maven 命令的使用场景及其详细解释。 1. mvn clean 使用场景:清理项目的生成目录,通常用于删除项目中自动生成的文件(如 target/ 目录)。共性规律:清理操作

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的