首先看secret.cpp的代码结合“From:”来进行切入。
由于前面进行的都是声明变量,变量赋值的工作,所以从第103行开始分析。
process_key12(int * key1,int * key2)函数中*((int *) (key1 + *key1)) = *key2;表示了将*key1(实际变量存储地址)的所在位置向高地址增加 *key1 的偏移量处的值赋为key2的值。当然这和偏移量有关,所以现在还不知道那个值被修改了。
继续向下看源码,发现start = 0, stride =1。
然后是process_key34(),查看代码后发现实类似的操作,先放着。
然后开始extract_message1(start, stride)密文的decode操作。将start = 0,stride = 1带代入,发现是一个死循环,所以此时start和stride的值并不对,那么如何修改呢,发现是process_key12()的影响,于是研究此函数:
- 局部变量的生成顺序是dummy,start,stride,key1,key2,由于栈是从高地址向低地址进行分配的,所以
*key是一个正数并且process函数只能修改一个数的值而start和stride都由dummy来初始决定,所以显而易见修改了dummy的值,所以key1的值为3(因为有dummy,start,stride三个4字节int值),接下来需要确定key2的值。 -
start = (int)(*(((char *) &dummy)));
stride = (int)(*(((char *) &dummy) + 1));
这两段是start的赋值,可以看到先转成char指针,在转成int值,而char占用1字节,int占用4字节,所以(_ _ _ _,表示dummy的四个字节,而程序里以字节为单位来逆序排列dummy的四个字节,如dummy=340,内存内dummy的字节序列是(低地址到高地址)15 04 00 00,由此可以看出,不仅栈是从高地址向低地址来分配的,而且变量的字节是由高地址向低地址00000415读取的)。 - 现在根据From:的ascii码值来找,发现为46 72 6F 6D 3A,然后在data中查找,注意data在内存中以4字节唯一单位,四字节内部顺序是高地址向低地址读取,所以并不是纯粹的data中的那些顺序,而且data中的4字节是从最后一个开始压进栈中的。所以加法操作后到高地址,正好可以到达data后面的字节中。
- 现在来看for循环,i变量只是提供message[i]中i的作用,内部变量循环stride-1次,出来后又+1,现在来观察几个字节出现的顺序,后面的数值是距离*data的距离,即+j。
46: 9 *10* 20
72: *11* 12 21
6F: *13* 15
6D: *14* 19
3A: *16*
可以看到内部循环为两次,所以stride=3,start = 10 -1 =9,所以key2=0x00000309=777.
之后得到结果
From: Friend
To: You
Good! Now try choosing keys3,4 to force a call to extract2 and
avoid the call to extract1
发现还有第二段密文,然我们用key3和key4来绕过extract1,所以需要更改process_key34之后的返回地址。
process_key34的函数过程为*(((int *)&key3) + *key3) += *key4;,*key3为偏移量,此处&key3指的是形参中的key3,所以就和函数栈有关。我们知道形参是从右往左入栈的,而在形参入栈后,会把函数返回地址加上,所以函数返回地址是在key3的下面(低地址处),所以*key3的值为-1,所以函数的返回地址增加多少才能绕过exetract_message1呢,此时我们反汇编源程序,查看exetract_message1和exetract_message2的函数地址。
0x100000ead <+253>: callq 0x100000c10 ; process_keys34 at main.c:57
0x100000eb2 <+258>: movl -0x18(%rbp), %edi
0x100000eb5 <+261>: movl -0x1c(%rbp), %esi
0x100000eb8 <+264>: callq 0x100000c40 ; extract_message1 at main.c:62
0x100000ebd <+269>: movq %rax, -0x38(%rbp)
0x100000ec1 <+273>: movq -0x38(%rbp), %rax
0x100000ec5 <+277>: movsbl (%rax), %esi
0x100000ec8 <+280>: cmpl $0x0, %esi
0x100000ece <+286>: jne 0x100000f0a ; <+346> at main.c:128
0x100000ed4 <+292>: leaq -0x28(%rbp), %rdi
0x100000ed8 <+296>: leaq -0x2c(%rbp), %rsi
0x100000edc <+300>: callq 0x100000c10 ; process_keys34 at main.c:57
0x100000ee1 <+305>: movl -0x18(%rbp), %edi
0x100000ee4 <+308>: movl -0x1c(%rbp), %esi
0x100000ee7 <+311>: callq 0x100000d30 ; extract_message2 at main.c:82
所以key4= 311 - 264 = 47。
虽然key3和key4带进去都没有得到正确的值,但是我尽力了。~~
综上,key1 = 3,key2 = 777,key = -1,key4 = 47。
网友评论