[시스템 프로그래밍] Bomb Lab Phase Secret

 

 

 

phase_defused 함수에서 secret_phase를 해결할 수 있다.

 

disas phase_defused 명령어로 어셈블리어를 조사하자.

 

 

 

 

 

 

+184줄에서 secret_phase를 호출함을 찾을 수 있다.

 

이제 어떻게 secret_phase 함수를 호출할지 생각해보자.

 

 

+30 : 6과 어떤 값을 비교해서 같으면 +64줄로 점프한다.

여기서 비교하는 값은 각 페이즈를 defuse 할 때 마다 1씩 증가한다.

 

phase_6까지 defuse 했으니 secret_phase로 접근하는 조건을 갖췄다.

 

+79줄과 +86줄에서 뭔가 입력받는 것 같다.

 

레지스터를 출력해서 어떤 형식으로 입력받는지 알아보자.

 

 

 

 

 

 

정수 두 개와 문자열 하나를 입력받는다.

 

아래에서 string_not_equal 함수를 호출하고 있다.

phase_1에서처럼 근처의 레지스터를 출력해서 어떤 문자열을 입력해야 하는지 알아보자.

 

 

 

 

 

입력해야 하는 문자열은 DrEvil임을 확인할 수 있다.

 

정수 두 개를 입력받는 단계인 phase_4에서 DrEvil 문자열을 추가로 입력해주자.

 

 

 

 

 

secret_phase에 진입했음을 확인할 수 있다.

 

 

이제 본격적으로 secret_phase를 해결해보자.

 

 

 

 

 

항상 하던대로 disas 먼저 실행해줬다.

 

+1 : 여기서 secret_phase의 입력을 받아온다.

+19 : strtol 함수를 호출하는데, 해당 함수는 문자열을 long 타입으로 변환하는 함수이다.

+30 : eax값을 0x3e8 (10진수로 1000) 와 비교한다. eax가 더 작으면 터진다.

입력값은 1000보다 커야 한다.

 

+46 fun7함수를 호출하는데, +51줄을 살펴보니 함수의 리턴값이 7이 아니면 터진다.

이제 문제가 좁혀졌다. 함수 fun7이 7을 반환하게 하는 입력값을 구하면 된다.

 

함수 fun7을 조사해보자.

 

 

 

 

 

 

 

fun7 함수는 조건에 따라 rdi의 주소를 계속해서 수정하는 것 같다.

rsi에는 입력값이 저장돼있다.

 

+3 : +0연산의 결과가 0이면 +57로 점프해서 –1을 반환하게 되고, 폭탄이 터진다.

+13 : edx에 rdi값을 저장한 후 입력값과 비교해 edx값이 더 크면 +29로 점프한다.

+22 : 입력값과 edx값을 비교해 같지 않으면 +42로 점프한다.

+38 : eax에 2를 곱한다.

+51 : eax에 rax * 2 + 1을 저장한다.

 

함수를 분석해보면

 

함수 내부에서 이진 트리 자료구조를 이루고, 포인터로 트리 내부에서의 위치를 찾는 역할을 수행함 확인할 수 있다.

 

즉, 원하는 숫자보다 작으면 반환값의 2배를, 더 크면 2배 + 1을 반환한다.

위의 동작을 반복하며 fun7함수는 이진 트리 내부에서의 위치를 찾는다.

 

 

 

 

 

 

검은색은 노드의 이름이고, 파란색은 해당 노드의 값을 통해 얻을 수 있는 반환값이다.

0부터 시작하고, 원하는 반환값은 7이다!

 

 

<n1> 레지스터를 확인해보자.

 

 

 

 

얻어야 하는 반환값이 7 이기 때문에 목표로 n48의 값만 알면 된다.

 

다른 노드들과의 관계를 참고해서 n48의 값을 찾아주자.

 

 

 

 

 

n34에 연결된 요소를 통해 n48의 값을 얻어왔다.

 

 

1001을 입력하면 7을 반환함을 알 수 있다.

 

정답은 1001이다.