这次找小伙伴要了他的一个CM,怎么说呢,这CM让我学到了不少,其实搞出来后感觉不难,就是有不少FPU浮点相关的指令和FPU寄存器完全没学过,查了不少资料,学到了很多

打开是这样

无壳程序,我们直接od查找字符串,爆破我就不说了,直接改跳转

我第一次是找到这个判断的函数开头,一行行快速单步,确实发现了输入,但是后来很多命令不懂意思我也单步,导致看到后来也不知道怎么判断的

然后我改了策略,先逆着就近看看,怎么才能使条件成立

004010EA  |.  F6C4 41       test ah,0x41                             ;  zf=0 -> ah & 0x41 != 0

004010ED  |.  B8 00000000   mov eax,0x0

004010F2  |.  0f95c0        setne al                                 ;  eax=1 -> al=1 -> zf=0

004010F5  |.  8945 D0       mov [local.12],eax

004010F8  |.  837D D0 01    cmp [local.12],0x1

004010FC  |.  0F85 39000000 jnz 测试.0040113B                          ;  要求zf=1,即eax=0x1

00401102  |.  BB 06000000   mov ebx,0x6

00401107  |.  E8 F8FEFFFF   call 测试.00401004

0040110C  |.  68 01030080   push 0x80000301

00401111  |.  6A 00         push 0x0

00401113  |.  68 00000000   push 0x0

00401118  |.  68 04000080   push 0x80000004

0040111D  |.  6A 00         push 0x0

0040111F  |.  68 6D1B4800   push 测试.00481B6D                         ;  成功

00401124  |.  68 04000000   push 0x4

00401129  |.  BB 90164000   mov ebx,测试.00401690

0040112E  |.  E8 36010000   call 测试.00401269

00401133  |.  83C4 34       add esp,0x34

00401136  |.  E9 34000000   jmp 测试.0040116F

0040113B  |>  BB 06000000   mov ebx,0x6

00401140  |.  E8 BFFEFFFF   call 测试.00401004

00401145  |.  68 01030080   push 0x80000301

0040114A  |.  6A 00         push 0x0

0040114C  |.  68 00000000   push 0x0

00401151  |.  68 04000080   push 0x80000004

00401156  |.  6A 00         push 0x0

00401158  |.  68 721B4800   push 测试.00481B72                         ;  失败

0040115D  |.  68 04000000   push 0x4

也就是说需要找ah相关的

接下来我们整体看看,因为第一次接触FPU浮点相关的指令和FPU寄存器,所以注释写的比较繁琐,望大家见谅

0040100C  /.  55            push ebp

0040100D  |.  8BEC          mov ebp,esp

0040100F  |.  81EC 34000000 sub esp,0x34

00401015  |.  6A FF         push -0x1

00401017  |.  6A 08         push 0x8

00401019  |.  68 02000116   push 0x16010002

0040101E  |.  68 01000152   push 0x52010001

00401023  |.  E8 47020000   call 测试.0040126F                         ;  执行后   输入的密码 -> eax(1886b8)

00401028  |.  83C4 10       add esp,0x10

0040102B  |.  8945 FC       mov [local.1],eax                        ;  eax中你的输入 -> ebp-4

0040102E  |.  68 04000080   push 0x80000004

00401033  |.  6A 00         push 0x0

00401035  |.  8B45 FC       mov eax,[local.1]

00401038  |.  85C0          test eax,eax

0040103A  |.  75 05         jnz short 测试.00401041

0040103C  |.  B8 5C1B4800   mov eax,测试.00481B5C

00401041  |>  50            push eax

00401042  |.  68 01000000   push 0x1

00401047  |.  BB A0134000   mov ebx,测试.004013A0

0040104C  |.  E8 18020000   call 测试.00401269                         ;  eax=16进制(你的输入)   ecx=0

00401051  |.  83C4 10       add esp,0x10                             ;  esp = 1000b

00401054  |.  8945 F8       mov [local.2],eax                        ;  16进制(你的输入) -> local.2

00401057  |.  8B5D FC       mov ebx,[local.1]                        ;  你的输入 -> ebx

0040105A  |.  85DB          test ebx,ebx

0040105C  |.  74 09         je short 测试.00401067

0040105E  |.  53            push ebx                                 ;  输入压栈 ebp-38  local.14

0040105F  |.  E8 F9010000   call 测试.0040125D

00401064  |.  83C4 04       add esp,0x4                              ;  [ebp-38] + 4

00401067  |>  DB45 F8       fild [local.2]                           ;  十进制浮点(输入) -> st0

0040106A  |.  DD5D F0       fstp qword ptr ss:[ebp-0x10]             ;  st0 -> ebp-10H

0040106D  |.  DD45 F0       fld qword ptr ss:[ebp-0x10]              ;  ebp-10 -> st0

00401070  |.  DC05 5D1B4800 fadd qword ptr ds:[0x481B5D]             ;  st0 = st0 + 520

00401076  |.  DD5D E8       fstp qword ptr ss:[ebp-0x18]             ;  十进制你的输入+520 -> ebp-18H

00401079  |.  6A FF         push -0x1

0040107B  |.  6A 08         push 0x8

0040107D  |.  68 03000116   push 0x16010003

00401082  |.  68 01000152   push 0x52010001

00401087  |.  E8 E3010000   call 测试.0040126F

0040108C  |.  83C4 10       add esp,0x10

0040108F  |.  8945 E4       mov [local.7],eax

00401092  |.  68 04000080   push 0x80000004

00401097  |.  6A 00         push 0x0

00401099  |.  8B45 E4       mov eax,[local.7]

0040109C  |.  85C0          test eax,eax

0040109E  |.  75 05         jnz short 测试.004010A5

004010A0  |.  B8 5C1B4800   mov eax,测试.00481B5C

004010A5  |>  50            push eax

004010A6  |.  68 01000000   push 0x1

004010AB  |.  BB A0134000   mov ebx,测试.004013A0

004010B0  |.  E8 B4010000   call 测试.00401269

004010B5  |.  83C4 10       add esp,0x10

004010B8  |.  8945 E0       mov [local.8],eax

004010BB  |.  8B5D E4       mov ebx,[local.7]

004010BE  |.  85DB          test ebx,ebx

004010C0  |.  74 09         je short 测试.004010CB

004010C2  |.  53            push ebx

004010C3  |.  E8 95010000   call 测试.0040125D

004010C8  |.  83C4 04       add esp,0x4

004010CB  |>  DB45 E0       fild [local.8]                           ;  (641)10 -> st0

004010CE  |.  DD5D D8       fstp qword ptr ss:[ebp-0x28]             ;  st0 -> ebp-28H

004010D1  |.  DD45 E8       fld qword ptr ss:[ebp-0x18]              ;  [ebp-18H](十进制你的输入+520) -> st0

004010D4  |.  DC65 D8       fsub qword ptr ss:[ebp-0x28]             ;  st0 = st0 - [ebp-28H]  (641)10

004010D7  |.  D9E4          ftst                                     ;  st0和0.0比较,据此设置FPU状态字C0,C2,C3位

004010D9  |.  DFE0          fstsw ax

004010DB  |.  F6C4 01       test ah,0x1

004010DE  |.  74 02         je short 测试.004010E2

004010E0  |.  D9E0          fchs                                     ;  st0改变符号位

004010E2  |>  DC1D 651B4800 fcomp qword ptr ds:[0x481B65]            ;  st0和[481B65](无限接近0的一个正浮点数)比较,据此设置FPU状态字C0,C2,C3位,并把st0弹到[481B65]

004010E8  |.  DFE0          fstsw ax                                 ;  FPU状态字 -> eax,根据下面可知,FPU状态字C0或C3为1均可

004010EA  |.  F6C4 41       test ah,0x41                             ;  zf=0 -> ah & 0x41 != 0

004010ED  |.  B8 00000000   mov eax,0x0

004010F2  |.  0f95c0        setne al                                 ;  eax=1 -> al=1 -> zf=0

004010F5  |.  8945 D0       mov [local.12],eax

004010F8  |.  837D D0 01    cmp [local.12],0x1

004010FC  |.  0F85 39000000 jnz 测试.0040113B                          ;  要求zf=1,即eax=0x1

00401102  |.  BB 06000000   mov ebx,0x6

00401107  |.  E8 F8FEFFFF   call 测试.00401004

0040110C  |.  68 01030080   push 0x80000301

00401111  |.  6A 00         push 0x0

00401113  |.  68 00000000   push 0x0

00401118  |.  68 04000080   push 0x80000004

0040111D  |.  6A 00         push 0x0

0040111F  |.  68 6D1B4800   push 测试.00481B6D                         ;  成功

00401124  |.  68 04000000   push 0x4

00401129  |.  BB 90164000   mov ebx,测试.00401690

0040112E  |.  E8 36010000   call 测试.00401269

00401133  |.  83C4 34       add esp,0x34

00401136  |.  E9 34000000   jmp 测试.0040116F

0040113B  |>  BB 06000000   mov ebx,0x6

00401140  |.  E8 BFFEFFFF   call 测试.00401004

00401145  |.  68 01030080   push 0x80000301

0040114A  |.  6A 00         push 0x0

0040114C  |.  68 00000000   push 0x0

00401151  |.  68 04000080   push 0x80000004

00401156  |.  6A 00         push 0x0

00401158  |.  68 721B4800   push 测试.00481B72                         ;  失败

0040115D  |.  68 04000000   push 0x4

那么回到上面的问题,ah的值是从哪来的,我们在004010E8处可以看到,FPU状态码进了eax

那么根据我们的判断ah & 0x41 != 0,能得出对FPU状态字有什么要求呢?

我们看这张图

也就是说

    0100 0001

&   -x-- -yzt

----------------


其中x代表C3,y代表C2,z代表C1,t代表C0

根据上面的判断,也就是说只能C3或C0为1

  • C3为1的话
004010E2  |>  DC1D 651B4800 fcomp qword ptr ds:[0x481B65]            ;  st0和[481B65](无限接近0的一个正浮点数)比较,据此设置FPU状态字C0,C2,C3位,并把st0弹到[481B65]

这段就是st0等于一个无限接近0的浮点数才能使C3为1,但是根据我们之前的st0 = st0 = 你的输入+520-641,st0不可能是等于一个无限接近0的浮点数,所以C3为1排除 fcomp命令参考处

  • C0为1的话

    C0为1是怎么来的呢?只有两个地方涉及到了FPU状态字的改变,分别是4010D74010E2

    4010E2处要使C0为1,必须st0小于那个无限接近0的浮点数,这个条件不足以我们判断,接着往上看

    4010D7处要使C0为1,必须st0等于0.0,也就是你的输入+520-641=0 ftst命令参考处

所以至此我们就得到了密码

密码+520-641=0 ==> 密码=121

这个CM怎么说呢,我刚开始是没想到会涉及到浮点寄存器的,因为我还没学这个,不过后来追到快判断的地方时,发现了FPU状态码进入eax参与过程了,然后查了关于FPU 状态寄存器的资料,就可以搞出来了

例子CM

一个涉及到浮点寄存器的CM的更多相关文章

  1. C语言:一个涉及指针函数返回值与printf乱码、内存堆栈的经典案例

    一个奇怪的C语言问题,涉及到指针.数组.堆栈.以及printf.以下实现: 整数向字符串的转换,返回字符串指针,并在main函数中调用printf显示. #include<stdio.h> ...

  2. [zt]系统中常用MIPS指令

    指令 功能 应用实例 LB 从存储器中读取一个字节的数据到寄存器中 LB R1, 0(R2) LH 从存储器中读取半个字的数据到寄存器中 LH R1, 0(R2) LW 从存储器中读取一个字的数据到寄 ...

  3. [转] RISC-V架构介绍

    1. RISC-V和其他开放架构有何不同 如果仅从"免费"或"开放"这两点来评判,RISC-V架构并不是第一个做到免费或开放的处理器架构. 在开始之前,我们先通 ...

  4. 关于RiscV的一些资料整理

    1. 基于RISC-V架构的开源处理器及SoC研究综述 https://mp.weixin.qq.com/s/qSD-q8y0_MY8R0MBA85ZZg 原文链接: https://blog.csd ...

  5. RISCV 入门 (学习笔记)

    文章目录 1. risv 相关背景 1.1 arm 授权费 1.2 riscv 发展历史 1.3 riscv 风险 2. 指令集 2.1 可配置的通用寄存器组 2.2 规整的指令编码 2.3 简洁的存 ...

  6. 汇编 浮点指令FLD,FSTP,FADD与FPU寄存器

    知识点:  浮点数的存放方式  st0至st7  FLD,FST,FADD指令 一.浮点数的存放方式 00401000 /$ 55 PUSH EBP 00401001 |. 8BEC MOV E ...

  7. x86寄存器总结

    X86寄存器 ·x86寄存器分类: 8个通用寄存器:EAX.EBX.ECX.EDX.ESI.EDI.ESP.EBP 1个标志寄存器:EFLAGS 6个段寄存器:CS.DS.ES.FS.GS.SS 5个 ...

  8. 汇编,浮点运算符,fldpi,fmul等指令说明.

    协处理器指令系统 协处理器共有68条不同的指令,汇编程序在遇到协处理器指令助记符时,都会将其转换成机器语言的ESC指令,ESC指令代表了协处理器的操作码. 协处理器指令在执行过程中,需要访问内存单元时 ...

  9. X86-64寄存器和栈帧

    简介 通用寄存器可用于传送和暂存数据,也可参与算术逻辑运算,并保存运算结果.除此之外,它们还各自具有一些特殊功能.通用寄存器的长度取决于机器字长,汇编语言程序员必须熟悉每个寄存器的一般用途和特殊用途, ...

随机推荐

  1. CSS选择符-----伪类选择符

    Element:hover E:hover { sRules }  设置元素在其鼠标悬停时的样式 <!DOCTYPE html> <html> <head> < ...

  2. Java注解的原理

    自Java5.0版本引入注解之后,它就成为了Java平台中非常重要的一部分.开发过程中,我们也时常在应用代码中会看到诸如@Override,@Deprecated这样的注解.这篇文章中,我将向大家讲述 ...

  3. go语言,golang学习笔记1 官网下载安装,中文社区,开发工具LiteIDE

    go语言,golang学习笔记1 官网下载安装,中文社区,开发工具LiteIDE Go语言是谷歌2009发布的专门针对多处理器系统应用程序的编程进行了优化,使用Go编译的程序可以媲美C或C++代码的速 ...

  4. java was started but exit code =-805306369

       打开STS 时报  java was started but exit code =-805306369这个错,一个页面. 原因我把STS里面的默认jdk换成了7.但是STS的ini文件里依赖的 ...

  5. highchart应用示例1--2个不同类型变量2个y轴

    1.ajax调用接口和处理数据 function getCityData() { var date1 = $('#datetimepicker1').val(); var date2 = $('#da ...

  6. 安装PG3.0详细教程附图

    从公司要求开始着手调研PG到今天上午都还不知道如何安装PG.. 囧的离谱.. 看了半天的PG官网 就这个网页我瞅了半天..对你没看错 半天 少说有10分钟..原谅我的英文不是非常好..但是我知道什么意 ...

  7. EF使用sql语句

    https://www.cnblogs.com/chenwolong/p/SqlQuery.html https://blog.csdn.net/zdhlwt2008/article/details/ ...

  8. JAVA基本语法测试

    一: 1,JAVA的基本运行单位是类 2,类的成员:成员变量,构造方法,普通方法和内部类 3,成员变量种类:字符类型:char        布尔类型:boolean     数值类型:byte, s ...

  9. 前端框架VUE----面向对象

    JavaScript 语言中,生成实例对象的传统方法是通过构造函数. function Animal(name,age){ this.name = name; this.age = age; } An ...

  10. 怎样从外网访问内网Jboss?

    本地安装了一个Jboss,只能在局域网内访问,怎样从外网也能访问到本地的Jboss呢?本文将介绍具体的实现步骤. 准备工作 安装并启动Jboss 默认安装的Jboss端口是8080. 实现步骤 下载并 ...