pwnable_collision

pwn

 2018/12/18   Share

12.18
Daddy told me about cool MD5 hash collision today.
I wanna do something like that too!
地址:ssh col@pwnable.kr -p2222 (pw:guest)

题目源码

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
    int* ip = (int*)p;
    int i;
    int res=0;
    for(i=0; i<5; i++){
        res += ip[i];
    }
    return res;
}

int main(int argc, char* argv[]){
    if(argc<2){
        printf("usage : %s [passcode]\n", argv[0]);
        return 0;
    }
    if(strlen(argv[1]) != 20){
        printf("passcode length should be 20 bytes\n");
        return 0;
    }

    if(hashcode == check_password( argv[1] )){
        system("/bin/cat flag");
        return 0;
    }
    else
        printf("wrong passcode.\n");
    return 0;
}

这个程序大致的流程就是:

1.用户输入20个char字符
2.然后经过check_password函数将20个字符转化为５个int型的数字(每个数字占4个字节)
3.再将５个数字相加，是否等于hashcode
4.hashcode的值为0x21DD09EC,转化为十进制就是568134124

解题思路:

1.将２０个字符分为２个部分
2.前16个字符全是0x02,那么就是0x020202024
3.为了保证５个整数之和为hashcode,后４个字符为`hex(0x21DD09EC-(0x020202024))4.得到后４个字符为0x19d501e4`

那么我们的payload就是
python -c "print '\x02\x02\x02\x02'*4 + '\x19\xd5\x01\xe4'"
但是经过尝试，失败了,

原来是数字在内存中是按照小端序存储，所以将payload修改成这样:
python -c "print '\x02\x02\x02\x02'*4 + '\xe4\x01\xd5\x19'"

https://api.superbed.cn/pic/5c18908ac4ff9e2b4e04502a

flag:daddy! I just managed to create a hash collision :)

原文作者: threst

原文链接: https://threst.github.io/2018/12/18/pwnable_collision/

发表日期: December 18th 2018, 1:32:13

Next Post

2018鹏城杯Myblog思考
Previous Post

pwnable_fd

CATALOG

1. 这个程序大致的流程就是:
2. 解题思路:



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true