pwnable.kr-collision

pwnable.kr-collision

这道题目与第一道题目做题步骤差不多,直接查看源码,再往下做即可,这里涉及的知识点是MD5碰撞。

题目描述

1
2
3
Daddy told me about cool MD5 hash collision today.
I wanna do something like that too!
ssh col@pwnable.kr -p2222 (pw:guest)

照样给了一行远程登录命令ssh col@pwnable.kr -p2222 (pw:guest)

题目分析

  1. 远程登录,输入命令:ssh col@pwnable.kr -p 2222,输入密码:guest,以col用户的身份进入端口为2222的主机。
    远程登录
  2. 查看col.c源代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
	int* ip = (int*)p;
	int i;
	int res=0;
	for(i=0; i<5; i++){
		res += ip[i];
	}
	return res;
}

int main(int argc, char* argv[]){
	if(argc<2){
		printf("usage : %s [passcode]\n", argv[0]);
		return 0;
	}
	if(strlen(argv[1]) != 20){
		printf("passcode length should be 20 bytes\n");
		return 0;
	}

	if(hashcode == check_password( argv[1] )){
		system("/bin/cat flag");
		return 0;
	}
	else
		printf("wrong passcode.\n");
	return 0;
}
  1. 分析代码
    代码中 hashcode = 0x21DD09EC,主函数中需要输入的参数长度是20个字节,再看if语句,只要check_password( argv[1] )等于0x21DD09EC就会获得flag,主要看check_password函数,函数的功能是把输入的char类型的参数p强制转换为int型,char类型是1个字节,int类型的是4个字节,要求输入20个字节,四个一组(int型),一共5组,和for循环对应起来,意思就是5个int类型的数相加结果为0x21DD09EC。
    假设其中四个数是0x01010101,那另一个数就是0x21DD09EC-0x01010101*4,结果为:
    算数
    查看col文件类型,得知cup是80386,存储方式为小端存储,则在输入上面的五个数时,注意输入顺序。
    文件类型
    这里的Python指令要用反引号` (键盘上在1的左边)括起来。
    得到flag

本文标题:pwnable.kr-collision

文章作者:HANqd

发布时间:2019-05-19, 20:59:43

最后更新:2019-05-19, 21:00:51

原始链接:https://hanqd.github.io/2019/05/19/pwnable-collision/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. 1. pwnable.kr-collision
    1. 1.1. 题目描述
    2. 1.2. 题目分析