【pwnable.kr】0x02-collision Writeup

题目描述


解法

拉取文件

bash 复制代码
scp -P2222 col@pwnable.kr:col .
scp -P2222 col@pwnable.kr:col.c .

分析源码

cpp 复制代码
#include <stdio.h>
#include <string.h>

// hashcode值
unsigned long hashcode = 0x21DD09EC;

// 返回res,对main函数中传参进行"加密"变换操作
unsigned long check_password(const char* p){
	int* ip = (int*)p; // *ip把*p强转为整型,前4个字节
	int i;
	int res=0;
    // 20个字节总共分为5次
	for(i=0; i<5; i++){
		res += ip[i];
	}
	return res;
}

int main(int argc, char* argv[]){
    // argc表示传参数,程序的名称本身被视为第一个参数,存储在argv[0]中
    // 此题需要传入一个参数
	if(argc<2){
		printf("usage : %s [passcode]\n", argv[0]);
		return 0;
	}
    
    // 传入参数长度需要等于20
	if(strlen(argv[1]) != 20){
		printf("passcode length should be 20 bytes\n");
		return 0;
	}

    // 传入的参数经过加密变换需要等于0x21DD09EC
	if(hashcode == check_password( argv[1] )){
		system("/bin/cat flag");
		return 0;
	}
	else
		printf("wrong passcode.\n");
	return 0;
}

阅读源码后,执行样例测试

输入2个参数 / 1个参数,程序输出如下

调试分析(可跳过)

先随意输入一个值,进一步分析

-g生成含调试信息的可执行文件

lldb调试

安装lldb
apt-get update
apt-get install lldb

bash 复制代码
# 输入abcdabcdabcdabcdabcd
lldb a.out abcdabcdabcdabcdabcd

# 在check_password第一行
(lldb) b 6
# 运行,传递参数,到断点处暂停
(lldb) r
# 单步执行printf("%d\n", *ip);step in
(lldb) s
#  检查内存,即检查ip指向的内存内容
#  整型为4字节,又因为机器为小端序,低位字节在低地址,即abcd对应0x64636261(从左往右地址增大),对应整数为1684234849
(lldb) x ip
# 打印指针ip指向的内容
(lldb) p *ip

特殊值构造

逆向"加密变换算法"check_password()分析,题目需要传入一个长度为20的字符串,经过五次累加之后等于0x21DD09EC,即可system("/bin/cat flag");

满足20个字节 条件,且五次累加=0x21DD09EC ,做除法

0x21DD09EC / 5

hex(0x21DD09EC - 0x6C5CEC8 * 4),余数为0x6c5cecc

查看靶机为小端序( LSB executable

所以输入的低位字节在低地址,高位字节在高地址
0x6C5CEC8 => \xc8\xce\xc5\x06
0x6c5cecc => \xcc\xce\xc5\x06

即shell构造为

bash 复制代码
./col `python -c 'print "\xc8\xce\xc5\x06" * 4 +"\xcc\xce\xc5\x06"'`

直接在靶机shell上执行payload获取flag

pwntools-EXP(假设靶机无python环境)

python 复制代码
#!/bin/python
from pwn import *

payload = p32(0x6c5cec8) * 4 + p32(0x6c5cecc)

r = ssh('col', 'pwnable.kr', password='guest', port=2222)
p = r.process(executable='./col', argv=['col', payload])
flag = p.recv()

log.success("flag:" + flag.decode())

p.close()
r.close()

Flag

bash 复制代码
daddy! I just managed to create a hash collision :)
相关推荐
CH13hh9 天前
常回家看看之Tcache Stashing Unlink Attack
pwn·ctf
想拿 0day 的脚步小子16 天前
从ctfwiki开始的pwn之旅 5.ret2csu
pwn
centos082 个月前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
Mr_Fmnwon2 个月前
【我的 PWN 学习手札】House of Roman
pwn·ctf·heap
A5rZ2 个月前
ctf-pwn: 数组越界
pwn·ctf
雪痕春风天音九重色2 个月前
Re:从零开始的pwn学习(栈溢出篇)
pwn·ctf·栈溢出
Brinmon2 个月前
BUU刷题-Pwn-codegate2018_melong(ARM的ret2libc)
arm开发·arm·pwn·ctf
Brinmon2 个月前
HWS赛题 入门 MIPS Pwn-Mplogin(MIPS_shellcode)
网络安全·pwn·ctf
波克比QWQ2 个月前
malloc源码分析之 ----- 你想要啥chunk
笔记·pwn·堆入门
Mr_Fmnwon3 个月前
【我的 PWN 学习手札】tcache stash unlink
pwn·ctf·heap·tcache