这是一个创建于 1136 天前的主题,其中的信息可能已经有所发展或是发生改变。
每天有时候日常工作做的很烦,疲乏之余做个小 crackme 玩下,这个的难度比较简单,进入 main ,跟着流程走一遍基本就明白了.crackme 的下载路径在这里: https://crackmes.one/crackme/62072dd633c5d46c8bcbfd9b ,
可以自己看下面的代码和注释来理解,不清楚的话看最底下的流程讲解
Dump of assembler code for function main: 0x0000555555555179 <+0>: push %rbp #标准开局,保存堆栈环境 0x000055555555517a <+1>: mov %rsp,%rbp 0x000055555555517d <+4>: sub $0x30,%rsp #非常标准的对应 main 函数的两个参数 int main(int argc, char** argv),这个是 argc 0x0000555555555181 <+8>: mov %edi,-0x24(%rbp) 0x0000555555555184 <+11>: mov %rsi,-0x30(%rbp) #对应 argv 0x0000555555555188 <+15>: mov %fs:0x28,%rax 0x0000555555555191 <+24>: mov %rax,-0x8(%rbp) 0x0000555555555195 <+28>: xor %eax,%eax # #比较有没有参数,换言之有没有输入参数,如果有输入参数跳转到下面箭头指的地方 0x0000555555555197 <+30>: cmpl $0x2,-0x24(%rbp) ------- 0x000055555555519b <+34>: je 0x5555555551c5 <main+76> | # 没输入参数的话直接开始调用 printf 函数打印下面的格式 | 0x000055555555519d <+36>: mov -0x30(%rbp),%rax | 0x00005555555551a1 <+40>: mov (%rax),%rax | 0x00005555555551a4 <+43>: mov %rax,%rsi | # 格式的字符对应"Usage : %s <license pass code here [numbers only]>\n" | 0x00005555555551a7 <+46>: lea 0xe5a(%rip),%rax # 0x555555556008 | 0x00005555555551ae <+53>: mov %rax,%rdi | 0x00005555555551b1 <+56>: mov $0x0,%eax | 0x00005555555551b6 <+61>: callq 0x555555555050 <printf@plt> | 0x00005555555551bb <+66>: mov $0x0,%edi | 0x00005555555551c0 <+71>: callq 0x555555555070 <exit@plt> | #下面的两个地址存储着两个参数 | # 清空两个数值,这里存储着一个计算出来的和 ------> 0x00005555555551c5 <+76>: movl $0x0,-0x10(%rbp) #这个地址存储的是处理过的字符串的字符的个数 0x00005555555551cc <+83>: movl $0x0,-0xc(%rbp) -- 0x00005555555551d3 <+90>: jmp 0x555555555201 <main+136> --------> 0x00005555555551d5 <+92>: mov -0x30(%rbp),%rax #还是拿到输入的数字的位置 | | 0x00005555555551d9 <+96>: add $0x8,%rax | | 0x00005555555551dd <+100>: mov (%rax),%rdx | | 0x00005555555551e0 <+103>: mov -0xc(%rbp),%eax # 这个存储着处理过的字符串字符的个数,第一次是 0 | | 0x00005555555551e3 <+106>: cltq | | 0x00005555555551e5 <+108>: add %rdx,%rax #找到当前处理的字符 | | #取 rax ,实际上就是输入的数字所在的字符串的 1byte ,拓展到 eax 里 | | 0x00005555555551e8 <+111>: movzbl (%rax),%eax | | 0x00005555555551eb <+114>: mov %al,-0x11(%rbp) #丢到栈里面,可以看到是刚才-0x10(%rbp)的低一位 | | 0x00005555555551ee <+117>: lea -0x11(%rbp),%rax | | 0x00005555555551f2 <+121>: mov %rax,%rdi | | #转换为整数,整个过程是一个循环,就是在不断地将每一位转换为数字,然后加到-0x10(%rbp)上 | | 0x00005555555551f5 <+124>: callq 0x555555555060 <atoi@plt> | | #eax 存储着从字符转换为数字的结果(返回值),存储到求和到刚才舒适的存储和的位置 | | 0x00005555555551fa <+129>: add %eax,-0x10(%rbp) | | #addl 加了一个 1 ,实际上就是诸位比较,还是继续运行, | | 0x00005555555551fd <+132>: addl $0x1,-0xc(%rbp) | | #argv 的起始地址, | --->0x0000555555555201 <+136>: mov -0x30(%rbp),%rax | # 偏移 8 字节,实际上目的是找到第二个元素,也就是我们输入参数所对应字符串的地址 | 0x0000555555555205 <+140>: add $0x8,%rax | # 将元素的值赋值给 rax ,就是输入的数字的所在字符串的地址, | 0x0000555555555209 <+144>: mov (%rax),%rax | 0x000055555555520c <+147>: mov %rax,%rdi | # 对字符串调用 strlen 判断长度 | 0x000055555555520f <+150>: callq 0x555555555040 <strlen@plt> | # 返回的字符串长度放在了 eax 里面,和已经操作的字符串的字符个数比较一下,看看是不是处理完了 | 0x0000555555555214 <+155>: cmp %eax,-0xc(%rbp) --- 0x0000555555555217 <+158>: jl 0x5555555551d5 <main+92> #比较输入的参数字符串每一个转换为数字后加起来以后是不是 0x32 ,所以构造一个字符串各位求和是 0x32 的即可 0x0000555555555219 <+160>: cmpl $0x32,-0x10(%rbp) 0x000055555555521d <+164>: jne 0x555555555238 <main+191> 0x000055555555521f <+166>: lea 0xe1a(%rip),%rax # 0x555555556040 0x0000555555555226 <+173>: mov %rax,%rdi 0x0000555555555229 <+176>: callq 0x555555555030 <puts@plt> 0x000055555555522e <+181>: mov $0x0,%edi 0x0000555555555233 <+186>: callq 0x555555555070 <exit@plt> 0x0000555555555238 <+191>: lea 0xe25(%rip),%rax # 0x555555556064 0x000055555555523f <+198>: mov %rax,%rdi 0x0000555555555242 <+201>: callq 0x555555555030 <puts@plt> 0x0000555555555247 <+206>: mov $0x0,%edi 0x000055555555524c <+211>: callq 0x555555555070 <exit@plt> - 首先检查有没有参数,argc 是不是等于 2 ,不等于 2 报错退出
- 初始化两个变量,一个存储处理过的位数,一个存储求和的结果
- 判断当前 处理过的字符串的字符个数和整个字符串的长度,如果没处理完开始循环
- 找到参数对应字符串的一个 char ,然后转换为整数加到求和的结果里,循环上一步直到处理完成
- 比较求和的结果和 0x32 是不是相等,相等即成功
所以构造一个求和是 0x32 的数字字符串即可,999995 ,通过
目前尚无回复
Select Language