前言 (Foreword)#
要完成 Bomb Lab,推荐大家把 CSAPP 的第二章和第三章学完。
前置知识:
- 汇编指令
- C 语言
- GDB 的基本使用
CSAPP Lab Website: http://csapp.cs.cmu.edu/3e/labs.html ↗
Find the Bomb Lab entry, clicking the “Self-Study Handout” to download your bomb.
拆弹 (Defuse)#
首先我们看一看 bomb.c 的源代码(去掉了注释部分)
#include <stdio.h>
#include <stdlib.h>
#include "support.h"
#include "phases.h"
FILE *infile;
int main(int argc, char *argv[])
{
char *input;
if (argc == 1) {
infile = stdin;
}
else if (argc == 2) {
if (!(infile = fopen(argv[1], "r"))) {
printf("%s: Error: Couldn't open %s\n", argv[0], argv[1]);
exit(8);
}
}
else {
printf("Usage: %s [<input_file>]\n", argv[0]);
exit(8);
}
initialize_bomb();
printf("Welcome to my fiendish little bomb. You have 6 phases with\n");
printf("which to blow yourself up. Have a nice day!\n");
input = read_line();
phase_1(input);
phase_defused();
printf("Phase 1 defused. How about the next one?\n");
input = read_line();
phase_2(input);
phase_defused();
printf("That's number 2. Keep going!\n");
input = read_line();
phase_3(input);
phase_defused();
printf("Halfway there!\n");
input = read_line();
phase_4(input);
phase_defused();
printf("So you got that one. Try this one.\n");
input = read_line();
phase_5(input);
phase_defused();
printf("Good work! On to the next...\n");
input = read_line();
phase_6(input);
phase_defused();
return 0;
}可以看到拆弹步骤是分为六个阶段的,每个阶段需要输入相对应的密码来破解,下面我们逐个阶段地分析。
Phase 1#
首先进入 gdb 调试 bomb 二进制可执行文件,在 phase_1 函数入口打上断点,然后开始调试,这期间会有让我们输入密码的过程,我们先随便输入一个密码,比如说 sharkie。然后程序就会停在 phase_1 的入口处。我们使用 disas 来反汇编当前所在的函数,得到如下输出:
Dump of assembler code for function phase_1:
0x0000000000400ee0 <+0>: sub $0x8,%rsp
0x0000000000400ee4 <+4>: mov $0x402400,%esi
0x0000000000400ee9 <+9>: call 0x401338 <strings_not_equal>
0x0000000000400eee <+14>: test %eax,%eax
0x0000000000400ef0 <+16>: je 0x400ef7 <phase_1+23>
0x0000000000400ef2 <+18>: call 0x40143a <explode_bomb>
0x0000000000400ef7 <+23>: add $0x8,%rsp
0x0000000000400efb <+27>: ret
End of assembler dump.观察得到,这个 phase_1 调用了 strings_not_equal 函数,然后判断存在寄存器 eax 里的返回值是否为 0,不为 0 则会调用 explode_bomb 函数,也即引爆炸弹。edi 和 esi 分别作为函数第一个和第二个入参,我们可以猜测,edi 和 esi 存的是字符串的首地址,然后调用函数判断这两个字符串是否相等。
为了验证我们的猜测,我们使用 x/s $edi 和 x/s 0x402400 来输出对应的字符串,分别得到:
0x603780 <input_strings>: "sharkie"0x402400: "Border relations with Canada have never been better."所以我们得到 Phase 1 的密码:Border relations with Canada have never been better.
Phase 2#
由于 bomb 程序可以接收一个参数作为其输入文件,我们可以在当前目录下新建一个文件 key,往里面写入 Phase 1 的密码,这样的话不用让每次进入调试的时候都需要手动输入一遍密码。示例如下:
key
Border relations with Canada have never been better.
sharkie加入 sharkie 行是为了让我们在 Phase 2 时,免去每次输入 Phase 2 密码的麻烦。
同时,我们可以写一个 gdb 脚本,这个脚本在每次进入 gdb 的时候自动被执行,我们可以在这里面打好自己想要的断点,或者一些其他指令。一个示例脚本:
script.gdb
set args key # 设置运行参数
# b phase_1 # 在 phase_1 处打断点,下同
b phase_2
b phase_3
b phase_4
b phase_5
b phase_6
run # 开始调试由于我们已经解决了 Phase 1,所以注释掉它的断点。
接下来我们就可以使用 gdb bomb -x script.gdb 来愉快地调试炸弹了 :)
下面继续拆弹!
我们反汇编 phase_2 函数,得到:
Dump of assembler code for function phase_2:
0x0000000000400efc <+0>: push %rbp
0x0000000000400efd <+1>: push %rbx
0x0000000000400efe <+2>: sub $0x28,%rsp
0x0000000000400f02 <+6>: mov %rsp,%rsi
0x0000000000400f05 <+9>: call 0x40145c <read_six_numbers>
0x0000000000400f0a <+14>: cmpl $0x1,(%rsp)
0x0000000000400f0e <+18>: je 0x400f30 <phase_2+52>
0x0000000000400f10 <+20>: call 0x40143a <explode_bomb>
0x0000000000400f15 <+25>: jmp 0x400f30 <phase_2+52>
0x0000000000400f17 <+27>: mov -0x4(%rbx),%eax
0x0000000000400f1a <+30>: add %eax,%eax
0x0000000000400f1c <+32>: cmp %eax,(%rbx)
0x0000000000400f1e <+34>: je 0x400f25 <phase_2+41>
0x0000000000400f20 <+36>: call 0x40143a <explode_bomb>
0x0000000000400f25 <+41>: add $0x4,%rbx
0x0000000000400f29 <+45>: cmp %rbp,%rbx
0x0000000000400f2c <+48>: jne 0x400f17 <phase_2+27>
0x0000000000400f2e <+50>: jmp 0x400f3c <phase_2+64>
0x0000000000400f30 <+52>: lea 0x4(%rsp),%rbx
0x0000000000400f35 <+57>: lea 0x18(%rsp),%rbp
0x0000000000400f3a <+62>: jmp 0x400f17 <phase_2+27>
0x0000000000400f3c <+64>: add $0x28,%rsp
0x0000000000400f40 <+68>: pop %rbx
0x0000000000400f41 <+69>: pop %rbp
0x0000000000400f42 <+70>: ret
End of assembler dump.我们可以尝试把这段汇编翻译成下面的代码:
void phase_2(char *input) {
rsp -= 0x28;
read_six_numbers(input, rsp);
if (*rsp == 0x1) { explode_bomb(); }
for (rbx = rsp + 0x4; rbx != rsp + 0x18; rbx += 0x4) {
eax = *(rbx - 0x4);
eax = eax + eax;
if (*rbx != eax) { explode_bomb(); }
}
}我们可以猜测,read_six_numbers 应该是从输入读入六个数字。我们可以查看 read_six_numbers 的反汇编代码确认一下:
Dump of assembler code for function read_six_numbers:
0x000000000040145c <+0>: sub $0x18,%rsp
0x0000000000401460 <+4>: mov %rsi,%rdx
0x0000000000401463 <+7>: lea 0x4(%rsi),%rcx
0x0000000000401467 <+11>: lea 0x14(%rsi),%rax
0x000000000040146b <+15>: mov %rax,0x8(%rsp)
0x0000000000401470 <+20>: lea 0x10(%rsi),%rax
0x0000000000401474 <+24>: mov %rax,(%rsp)
0x0000000000401478 <+28>: lea 0xc(%rsi),%r9
0x000000000040147c <+32>: lea 0x8(%rsi),%r8
0x0000000000401480 <+36>: mov $0x4025c3,%esi
0x0000000000401485 <+41>: mov $0x0,%eax
0x000000000040148a <+46>: call 0x400bf0 <__isoc99_sscanf@plt>
0x000000000040148f <+51>: cmp $0x5,%eax
0x0000000000401492 <+54>: jg 0x401499 <read_six_numbers+61>
0x0000000000401494 <+56>: call 0x40143a <explode_bomb>
0x0000000000401499 <+61>: add $0x18,%rsp
0x000000000040149d <+65>: ret
End of assembler dump.可以看到这里面调用了 sscanf 函数,传入的参数有(按顺序) rdi, rsi, rdx, rcx, r8, r9, 还有一些参数存在栈上。这里 rdi 同样指向我们输入的密码(自行验证),rsi 指向一个字符串 "%d %d %d %d %d %d",rdx 到 r9 分别指向上一个栈帧的栈顶的偏移位置 0x0, 0x4, 0x8, 0xc 处,然后还有两个参数存在当前 read_six_numbers 函数的栈帧上,同样存的也是地址,指向上一个栈帧的栈顶的偏移位置 0x10, 0x14 处。
那我们就可以作出判断,Phase 2 需要我们输入六个整数,再结合 phase_2 的函数代码,可以得到,第一个整数必须为 1,接下来的每一个整数,都必须是前一个整数的 2 倍。
所以我们得到 Phase 2 的密码:1 2 4 8 16 32
Phase 3#
我们反汇编 phase_3 函数,得到:
Dump of assembler code for function phase_3:
0x0000000000400f43 <+0>: sub $0x18,%rsp
0x0000000000400f47 <+4>: lea 0xc(%rsp),%rcx
0x0000000000400f4c <+9>: lea 0x8(%rsp),%rdx
0x0000000000400f51 <+14>: mov $0x4025cf,%esi
0x0000000000400f56 <+19>: mov $0x0,%eax
0x0000000000400f5b <+24>: call 0x400bf0 <__isoc99_sscanf@plt>
0x0000000000400f60 <+29>: cmp $0x1,%eax
0x0000000000400f63 <+32>: jg 0x400f6a <phase_3+39>
0x0000000000400f65 <+34>: call 0x40143a <explode_bomb>
0x0000000000400f6a <+39>: cmpl $0x7,0x8(%rsp)
0x0000000000400f6f <+44>: ja 0x400fad <phase_3+106>
0x0000000000400f71 <+46>: mov 0x8(%rsp),%eax
0x0000000000400f75 <+50>: jmp *0x402470(,%rax,8)
0x0000000000400f7c <+57>: mov $0xcf,%eax
0x0000000000400f81 <+62>: jmp 0x400fbe <phase_3+123>
0x0000000000400f83 <+64>: mov $0x2c3,%eax
0x0000000000400f88 <+69>: jmp 0x400fbe <phase_3+123>
0x0000000000400f8a <+71>: mov $0x100,%eax
0x0000000000400f8f <+76>: jmp 0x400fbe <phase_3+123>
0x0000000000400f91 <+78>: mov $0x185,%eax
0x0000000000400f96 <+83>: jmp 0x400fbe <phase_3+123>
0x0000000000400f98 <+85>: mov $0xce,%eax
0x0000000000400f9d <+90>: jmp 0x400fbe <phase_3+123>
0x0000000000400f9f <+92>: mov $0x2aa,%eax
0x0000000000400fa4 <+97>: jmp 0x400fbe <phase_3+123>
0x0000000000400fa6 <+99>: mov $0x147,%eax
0x0000000000400fab <+104>: jmp 0x400fbe <phase_3+123>
0x0000000000400fad <+106>: call 0x40143a <explode_bomb>
0x0000000000400fb2 <+111>: mov $0x0,%eax
0x0000000000400fb7 <+116>: jmp 0x400fbe <phase_3+123>
0x0000000000400fb9 <+118>: mov $0x137,%eax
0x0000000000400fbe <+123>: cmp 0xc(%rsp),%eax
0x0000000000400fc2 <+127>: je 0x400fc9 <phase_3+134>
0x0000000000400fc4 <+129>: call 0x40143a <explode_bomb>
0x0000000000400fc9 <+134>: add $0x18,%rsp
0x0000000000400fcd <+138>: ret
End of assembler dump.这里又调用了 sscanf,使用 x/s 0x4025cf 查看其格式化字符串,得到 "%d %d",代表这次 Phase 3 需要我们输入两个整数,一个存放在 rsp + 0x8 处,另一个存放在 rsp + 0xc 处。观察 <+39>, <+44>, <+106> 处的代码,我们可以得到输入的第一个整数必须 。
观察 <+50> 及之后的代码,应该是一个基于跳转表实现的 switch 语句。
我们看看跳转表的内容(0x402470 处):使用 x/8xg 0x402470
0x402470: 0x0000000000400f7c 0x0000000000400fb9
0x402480: 0x0000000000400f83 0x0000000000400f8a
0x402490: 0x0000000000400f91 0x0000000000400f98
0x4024a0: 0x0000000000400f9f 0x0000000000400fa6我们就用 case 0 对应的跳转地址吧,即跳转到 0x0000000000400f7c 处。
(要想使用 case 0,我们观察 <+50> 行的代码,发现它是以第一个输入的整数来作为跳转表的偏移量的,所以我们第一个整数输入 0 即可。)
然后我们跟着流程走,会发现第二个整数必须等于 0xcf,不然会引爆炸弹。
所以我们得到 Phase 3 的密码(不唯一):0 207
Phase 4#
反汇编 phase_4 函数,得到:
Dump of assembler code for function phase_4:
0x000000000040100c <+0>: sub $0x18,%rsp
0x0000000000401010 <+4>: lea 0xc(%rsp),%rcx
0x0000000000401015 <+9>: lea 0x8(%rsp),%rdx
0x000000000040101a <+14>: mov $0x4025cf,%esi
0x000000000040101f <+19>: mov $0x0,%eax
0x0000000000401024 <+24>: call 0x400bf0 <__isoc99_sscanf@plt>
0x0000000000401029 <+29>: cmp $0x2,%eax
0x000000000040102c <+32>: jne 0x401035 <phase_4+41>
0x000000000040102e <+34>: cmpl $0xe,0x8(%rsp)
0x0000000000401033 <+39>: jbe 0x40103a <phase_4+46>
0x0000000000401035 <+41>: call 0x40143a <explode_bomb>
0x000000000040103a <+46>: mov $0xe,%edx
0x000000000040103f <+51>: mov $0x0,%esi
0x0000000000401044 <+56>: mov 0x8(%rsp),%edi
0x0000000000401048 <+60>: call 0x400fce <func4>
0x000000000040104d <+65>: test %eax,%eax
0x000000000040104f <+67>: jne 0x401058 <phase_4+76>
0x0000000000401051 <+69>: cmpl $0x0,0xc(%rsp)
0x0000000000401056 <+74>: je 0x40105d <phase_4+81>
0x0000000000401058 <+76>: call 0x40143a <explode_bomb>
0x000000000040105d <+81>: add $0x18,%rsp
0x0000000000401061 <+85>: ret
End of assembler dump.检查 0x4025cf 处的字符串看看要求输入什么。我们得到 %d %d,又是输入两个整数。
跟着流程走我们可以得到,第一个整数必须小于等于 0xe。
紧接着调用了 func4,调用方式为 func4(第一个输入的整数,0,15)。
接下来我们看看 func4 在干嘛:
Dump of assembler code for function func4:
0x0000000000400fce <+0>: sub $0x8,%rsp
0x0000000000400fd2 <+4>: mov %edx,%eax
0x0000000000400fd4 <+6>: sub %esi,%eax
0x0000000000400fd6 <+8>: mov %eax,%ecx
0x0000000000400fd8 <+10>: shr $0x1f,%ecx
0x0000000000400fdb <+13>: add %ecx,%eax
0x0000000000400fdd <+15>: sar $1,%eax
0x0000000000400fdf <+17>: lea (%rax,%rsi,1),%ecx
0x0000000000400fe2 <+20>: cmp %edi,%ecx
0x0000000000400fe4 <+22>: jle 0x400ff2 <func4+36>
0x0000000000400fe6 <+24>: lea -0x1(%rcx),%edx
0x0000000000400fe9 <+27>: call 0x400fce <func4>
0x0000000000400fee <+32>: add %eax,%eax
0x0000000000400ff0 <+34>: jmp 0x401007 <func4+57>
0x0000000000400ff2 <+36>: mov $0x0,%eax
0x0000000000400ff7 <+41>: cmp %edi,%ecx
0x0000000000400ff9 <+43>: jge 0x401007 <func4+57>
0x0000000000400ffb <+45>: lea 0x1(%rcx),%esi
0x0000000000400ffe <+48>: call 0x400fce <func4>
0x0000000000401003 <+53>: lea 0x1(%rax,%rax,1),%eax
0x0000000000401007 <+57>: add $0x8,%rsp
0x000000000040100b <+61>: ret
End of assembler dump.翻译成对应的 C 语言代码如下:
int func4(int num1, int a, int b) {
int bias = ((unsigned int) (b - a)) >> 31; // 负数除以 2 需要加上偏置值让它往上舍入。
int mid = a + (b - a + bias) >> 1;
if (mid > num1) {
return func4(num1, a, mid - 1) * 2;
}
if (mid < num1) {
return func4(num1, mid + 1, b) * 2 + 1;
}
return 0;
}我们可以发现 func4 是在 范围内二分查找 num1。
我们需要让 func4 的返回值为 0,否则炸弹会爆炸。
我们在这里直接让 func4 第一次查找就找到值 num1 就可以了,这个值为 7。
然后回到 phase_4 ,继续过程,在 <+74> 处我们看到 0xc(%rsp) 处的数必须等于 0,否则炸弹会爆炸。
所以可以得到 Phase 4 的密码(不唯一):7 0
Phase 5#
反汇编 phase_5 函数,得到:
Dump of assembler code for function phase_5:
0x0000000000401062 <+0>: push %rbx
0x0000000000401063 <+1>: sub $0x20,%rsp
0x0000000000401067 <+5>: mov %rdi,%rbx
0x000000000040106a <+8>: mov %fs:0x28,%rax
0x0000000000401073 <+17>: mov %rax,0x18(%rsp)
0x0000000000401078 <+22>: xor %eax,%eax
0x000000000040107a <+24>: call 0x40131b <string_length>
0x000000000040107f <+29>: cmp $0x6,%eax
0x0000000000401082 <+32>: je 0x4010d2 <phase_5+112>
0x0000000000401084 <+34>: call 0x40143a <explode_bomb>
0x0000000000401089 <+39>: jmp 0x4010d2 <phase_5+112>
0x000000000040108b <+41>: movzbl (%rbx,%rax,1),%ecx
0x000000000040108f <+45>: mov %cl,(%rsp)
0x0000000000401092 <+48>: mov (%rsp),%rdx
0x0000000000401096 <+52>: and $0xf,%edx
0x0000000000401099 <+55>: movzbl 0x4024b0(%rdx),%edx
0x00000000004010a0 <+62>: mov %dl,0x10(%rsp,%rax,1)
0x00000000004010a4 <+66>: add $0x1,%rax
0x00000000004010a8 <+70>: cmp $0x6,%rax
0x00000000004010ac <+74>: jne 0x40108b <phase_5+41>
0x00000000004010ae <+76>: movb $0x0,0x16(%rsp)
0x00000000004010b3 <+81>: mov $0x40245e,%esi
0x00000000004010b8 <+86>: lea 0x10(%rsp),%rdi
0x00000000004010bd <+91>: call 0x401338 <strings_not_equal>
0x00000000004010c2 <+96>: test %eax,%eax
0x00000000004010c4 <+98>: je 0x4010d9 <phase_5+119>
0x00000000004010c6 <+100>: call 0x40143a <explode_bomb>
0x00000000004010cb <+105>: nopl 0x0(%rax,%rax,1)
0x00000000004010d0 <+110>: jmp 0x4010d9 <phase_5+119>
0x00000000004010d2 <+112>: mov $0x0,%eax
0x00000000004010d7 <+117>: jmp 0x40108b <phase_5+41>
0x00000000004010d9 <+119>: mov 0x18(%rsp),%rax
0x00000000004010de <+124>: xor %fs:0x28,%rax
0x00000000004010e7 <+133>: je 0x4010ee <phase_5+140>
0x00000000004010e9 <+135>: call 0x400b30 <__stack_chk_fail@plt>
0x00000000004010ee <+140>: add $0x20,%rsp
0x00000000004010f2 <+144>: pop %rbx
0x00000000004010f3 <+145>: ret
End of assembler dump.<+8> 和 <+17>,<+119> 到 <+135> 的代码是防止栈溢出攻击的代码,我们可以不用关注它们。
继续跟随代码,可以发现这次我们输入的字符串的长度必须为 6,然后初始化 eax = 0,进入 <+41> ~ <+74> 这个循环里面。
在这里 rbx 指向我们输入的字符串的首地址。
这个循环干了件什么事呢?
假设我们输入了字符串 “sharki”,它第一次取出字符 ‘s’,将 ‘s’ 对应的 ASCII 值按位与 0xf,不妨将得到的值记为 offset,即 offset = 's' & 0xf。然后将 0x4024b0 + offset 处的一字节放到 rsp + 0x10 + 循环变量值 处,这里的循环变量值的取值为 (0, 1, …, 5)。
然后出循环,在 <+76> ~ <+100> 处的代码,我们发现,rsp + 0x10 存的是一个字符串,而且还需要和在 0x40245e 处的字符串进行比较,不相等则直接爆炸。若相等就进行后续处理了。
⭐ 所以我们的目的就是为了让 rsp + 0x10 处的字符串与 0x40245e 处的字符串相等。
检查 0x40245e 处的字符串,为 flyers。
再看看 0x4024b0 处的字符表存了什么,按照 offset 的取值来看,表中有 16 个元素,我们检查一下:x/16cb 0x4024b0
0x4024b0 <array.3449>: 109 'm' 97 'a' 100 'd' 117 'u' 105 'i' 101 'e' 114 'r' 115 's'
0x4024b8 <array.3449+8>: 110 'n' 102 'f' 111 'o' 116 't' 118 'v' 98 'b' 121 'y' 108 'l'所以说,我们要让 offset 的取值依次为 9, 15, 14, 5, 6, 7。
这里参考 ASCII 表来构造输入字符串,一个可行的字符串:ionefg。
‘i’ 的值为 0110 1001 与 0xf 按位与得到 1001,即 9,以此类推。
所以可以得到 Phase 5 的密码(不唯一):ionefg
Phase 6#
最复杂的一集,代码巨长,跳转特别多,看了我几个小时…
老样子,反汇编 phase_6 函数,得到:
Dump of assembler code for function phase_6:
0x00000000004010f4 <+0>: push %r14
0x00000000004010f6 <+2>: push %r13
0x00000000004010f8 <+4>: push %r12
0x00000000004010fa <+6>: push %rbp
0x00000000004010fb <+7>: push %rbx
0x00000000004010fc <+8>: sub $0x50,%rsp
0x0000000000401100 <+12>: mov %rsp,%r13
0x0000000000401103 <+15>: mov %rsp,%rsi
0x0000000000401106 <+18>: call 0x40145c <read_six_numbers>
0x000000000040110b <+23>: mov %rsp,%r14
0x000000000040110e <+26>: mov $0x0,%r12d
0x0000000000401114 <+32>: mov %r13,%rbp
0x0000000000401117 <+35>: mov 0x0(%r13),%eax
0x000000000040111b <+39>: sub $0x1,%eax
0x000000000040111e <+42>: cmp $0x5,%eax
0x0000000000401121 <+45>: jbe 0x401128 <phase_6+52>
0x0000000000401123 <+47>: call 0x40143a <explode_bomb>
0x0000000000401128 <+52>: add $0x1,%r12d
0x000000000040112c <+56>: cmp $0x6,%r12d
0x0000000000401130 <+60>: je 0x401153 <phase_6+95>
0x0000000000401132 <+62>: mov %r12d,%ebx
0x0000000000401135 <+65>: movslq %ebx,%rax
0x0000000000401138 <+68>: mov (%rsp,%rax,4),%eax
0x000000000040113b <+71>: cmp %eax,0x0(%rbp)
0x000000000040113e <+74>: jne 0x401145 <phase_6+81>
0x0000000000401140 <+76>: call 0x40143a <explode_bomb>
0x0000000000401145 <+81>: add $0x1,%ebx
0x0000000000401148 <+84>: cmp $0x5,%ebx
0x000000000040114b <+87>: jle 0x401135 <phase_6+65>
0x000000000040114d <+89>: add $0x4,%r13
0x0000000000401151 <+93>: jmp 0x401114 <phase_6+32>
0x0000000000401153 <+95>: lea 0x18(%rsp),%rsi
0x0000000000401158 <+100>: mov %r14,%rax
0x000000000040115b <+103>: mov $0x7,%ecx
0x0000000000401160 <+108>: mov %ecx,%edx
0x0000000000401162 <+110>: sub (%rax),%edx
0x0000000000401164 <+112>: mov %edx,(%rax)
0x0000000000401166 <+114>: add $0x4,%rax
0x000000000040116a <+118>: cmp %rsi,%rax
0x000000000040116d <+121>: jne 0x401160 <phase_6+108>
0x000000000040116f <+123>: mov $0x0,%esi
0x0000000000401174 <+128>: jmp 0x401197 <phase_6+163>
0x0000000000401176 <+130>: mov 0x8(%rdx),%rdx
0x000000000040117a <+134>: add $0x1,%eax
0x000000000040117d <+137>: cmp %ecx,%eax
0x000000000040117f <+139>: jne 0x401176 <phase_6+130>
0x0000000000401181 <+141>: jmp 0x401188 <phase_6+148>
0x0000000000401183 <+143>: mov $0x6032d0,%edx
0x0000000000401188 <+148>: mov %rdx,0x20(%rsp,%rsi,2)
0x000000000040118d <+153>: add $0x4,%rsi
0x0000000000401191 <+157>: cmp $0x18,%rsi
0x0000000000401195 <+161>: je 0x4011ab <phase_6+183>
0x0000000000401197 <+163>: mov (%rsp,%rsi,1),%ecx
0x000000000040119a <+166>: cmp $0x1,%ecx
0x000000000040119d <+169>: jle 0x401183 <phase_6+143>
0x000000000040119f <+171>: mov $0x1,%eax
0x00000000004011a4 <+176>: mov $0x6032d0,%edx
0x00000000004011a9 <+181>: jmp 0x401176 <phase_6+130>
0x00000000004011ab <+183>: mov 0x20(%rsp),%rbx
0x00000000004011b0 <+188>: lea 0x28(%rsp),%rax
0x00000000004011b5 <+193>: lea 0x50(%rsp),%rsi
0x00000000004011ba <+198>: mov %rbx,%rcx
0x00000000004011bd <+201>: mov (%rax),%rdx
0x00000000004011c0 <+204>: mov %rdx,0x8(%rcx)
0x00000000004011c4 <+208>: add $0x8,%rax
0x00000000004011c8 <+212>: cmp %rsi,%rax
0x00000000004011cb <+215>: je 0x4011d2 <phase_6+222>
0x00000000004011cd <+217>: mov %rdx,%rcx
0x00000000004011d0 <+220>: jmp 0x4011bd <phase_6+201>
0x00000000004011d2 <+222>: movq $0x0,0x8(%rdx)
0x00000000004011da <+230>: mov $0x5,%ebp
0x00000000004011df <+235>: mov 0x8(%rbx),%rax
0x00000000004011e3 <+239>: mov (%rax),%eax
0x00000000004011e5 <+241>: cmp %eax,(%rbx)
0x00000000004011e7 <+243>: jge 0x4011ee <phase_6+250>
0x00000000004011e9 <+245>: call 0x40143a <explode_bomb>
0x00000000004011ee <+250>: mov 0x8(%rbx),%rbx
0x00000000004011f2 <+254>: sub $0x1,%ebp
0x00000000004011f5 <+257>: jne 0x4011df <phase_6+235>
0x00000000004011f7 <+259>: add $0x50,%rsp
0x00000000004011fb <+263>: pop %rbx
0x00000000004011fc <+264>: pop %rbp
0x00000000004011fd <+265>: pop %r12
0x00000000004011ff <+267>: pop %r13
0x0000000000401201 <+269>: pop %r14
0x0000000000401203 <+271>: ret
End of assembler dump.建议大家把每个循环结构都划分出来,一段一段理解。
这部分的解答有空的时候我再写出来。
这里给出 Phase 6 的密码:4 3 2 1 6 5