CSAPP 3e: Bomb lab (phase_5)

调出phase_5函数：

0000000000401062 <phase_5>:
  401062:    53                       push   %rbx
  401063:    48 83 ec 20              sub    $0x20,%rsp
  401067:    48 89 fb                 mov    %rdi,%rbx
  40106a:    64 48 8b 04 25 28 00     mov    %fs:0x28,%rax    ;此处搞不懂
  401071:    00 00 
  401073:    48 89 44 24 18           mov    %rax,0x18(%rsp)
  401078:    31 c0                    xor    %eax,%eax
  40107a:    e8 9c 02 00 00           callq  40131b <string_length>    ;检测字符串长度
  40107f:    83 f8 06                 cmp    $0x6,%eax
  401082:    74 4e                    je     4010d2 <phase_5+0x70>    ;如果字符串长度不为6，bomb。
  401084:    e8 b1 03 00 00           callq  40143a <explode_bomb>
  401089:    eb 47                    jmp    4010d2 <phase_5+0x70>
  40108b:    0f b6 0c 03              movzbl (%rbx,%rax,1),%ecx    ;%ecx=%eax+%ebx。
  40108f:    88 0c 24                 mov    %cl,(%rsp)        ;取%ecx得低8位，相当于%ecx & 0xff,并将值放入内存地址(%rsp)中
  401092:    48 8b 14 24              mov    (%rsp),%rdx
  401096:    83 e2 0f                 and    $0xf,%edx        ;联系上几行，相当于 %ecx & 0xf,并将运算值放入寄存器%edx。
  401099:    0f b6 92 b0 24 40 00     movzbl 0x4024b0(%rdx),%edx    ;根据%edx的值，从内存地址0x4024b0中将数据读入%edx中
  4010a0:    88 54 04 10              mov    %dl,0x10(%rsp,%rax,1);再将读入的数据转移转移到内存地址(%rsp+0x10+%rax)中
  4010a4:    48 83 c0 01              add    $0x1,%rax    ;%rax+=1
  4010a8:    48 83 f8 06              cmp    $0x6,%rax    ;当rax=6跳出循环，这里注意到6等于所需输入的字符串长度
  4010ac:    75 dd                    jne    40108b <phase_5+0x29>
  4010ae:    c6 44 24 16 00           movb   $0x0,0x16(%rsp)    ;由之前关卡可知strings_not_equal函数的运行机制
  4010b3:    be 5e 24 40 00           mov    $0x40245e,%esi    ;%esi存储答案字符串首地址
  4010b8:    48 8d 7c 24 10           lea    0x10(%rsp),%rdi    ;%rdi存储被检测字符串首地址。
  4010bd:    e8 76 02 00 00           callq  401338 <strings_not_equal>
  4010c2:    85 c0                    test   %eax,%eax    ;字符串一一符合则完成破解。
  4010c4:    74 13                    je     4010d9 <phase_5+0x77>    ;这一关重点是在0x4024b0与0x40245e两个字符串之间的关系。
  4010c6:    e8 6f 03 00 00           callq  40143a <explode_bomb>
  4010cb:    0f 1f 44 00 00           nopl   0x0(%rax,%rax,1)
  4010d0:    eb 07                    jmp    4010d9 <phase_5+0x77>
  4010d2:    b8 00 00 00 00           mov    $0x0,%eax
  4010d7:    eb b2                    jmp    40108b <phase_5+0x29>
  4010d9:    48 8b 44 24 18           mov    0x18(%rsp),%rax
  4010de:    64 48 33 04 25 28 00     xor    %fs:0x28,%rax
  4010e5:    00 00 
  4010e7:    74 05                    je     4010ee <phase_5+0x8c>
  4010e9:    e8 42 fa ff ff           callq  400b30 <__stack_chk_fail@plt>
  4010ee:    48 83 c4 20              add    $0x20,%rsp
  4010f2:    5b                       pop    %rbx
  4010f3:    c3                       retq   

　　主要内容在注释中贴出来了，解读如下：

　　这一关要求输入一个长度为6的字符串，但是字符串的内容与strings_not_equal函数中%esi存储的地址的字符串不一样，可以看到在这个函数之前有一个转换过程，而且%edi存储的地址是%rsp数据段的地址，这是要点。

　　转换过程是取得字符的最低4位，值在0-15之间，通过这个值来调取地址0x4024b0 中的字符，并存入%rsp数据段中，需要%rsp数据段中的字符串与%rsi总的字符串相同，才可以通过这一关。

　　地址0x4024b0中的字符串：m a d u i e r s n f o t v b y l  （空格分开只是为了便于查看）

　　地址%esi=0x40245e中的字符串："flyers"

　　观察这两个字符串的两两对应关系，要从混乱字符串中选出字符组成"flyers",需要选出的字符序号（从0开始）为 “9,15,4,5,6,7”,十六进制则是"9,f,e,5,6,7"

所以只要输入字符串中对应位的字符的最低4位的数值等于"9,f,e,5,6,7",即可通过这一关。

　　比如：通过查看ASCII值，可以得到

　　字符最低位值：9　　f　　e　　5　　6　　7

　　对应可选字符：i　　o　　n　　e　　f　　g

　　　　　　　　　y　　　　　　　u　　v　　w

　　所以字符串"ionefg"是正确答案。（也可以是"yonefg"或者"yonuvw"都可以，只要字符串满足最低位序号的要求均可以。）