题目描述
解法
拉取文件
scp -P2222 col@pwnable.kr:col .
scp -P2222 col@pwnable.kr:col.c .
分析源码
#include <stdio.h>
#include <string.h>
// hashcode值
unsigned long hashcode = 0x21DD09EC;
// 返回res,对main函数中传参进行“加密”变换操作
unsigned long check_password(const char* p){
int* ip = (int*)p; // *ip把*p强转为整型,前4个字节
int i;
int res=0;
// 20个字节总共分为5次
for(i=0; i<5; i++){
res += ip[i];
}
return res;
}
int main(int argc, char* argv[]){
// argc表示传参数,程序的名称本身被视为第一个参数,存储在argv[0]中
// 此题需要传入一个参数
if(argc<2){
printf("usage : %s [passcode]\n", argv[0]);
return 0;
}
// 传入参数长度需要等于20
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
// 传入的参数经过加密变换需要等于0x21DD09EC
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
else
printf("wrong passcode.\n");
return 0;
}
阅读源码后,执行样例测试
输入2个参数
/ 1个参数
,程序输出如下
调试分析(可跳过)
先随意输入一个值,进一步分析
-g
生成含调试信息的可执行文件
lldb调试
安装lldb
apt-get update
apt-get install lldb
# 输入abcdabcdabcdabcdabcd
lldb a.out abcdabcdabcdabcdabcd
# 在check_password第一行
(lldb) b 6
# 运行,传递参数,到断点处暂停
(lldb) r
# 单步执行printf("%d\n", *ip);step in
(lldb) s
# 检查内存,即检查ip指向的内存内容
# 整型为4字节,又因为机器为小端序,低位字节在低地址,即abcd对应0x64636261(从左往右地址增大),对应整数为1684234849
(lldb) x ip
# 打印指针ip指向的内容
(lldb) p *ip
特殊值构造
逆向“加密变换算法”
:check_password()
分析,题目需要传入一个长度为20的字符串
,经过五次累加之后等于0x21DD09EC
,即可system("/bin/cat flag");
满足20个字节条件,且五次累加=0x21DD09EC,做除法
①0x21DD09EC / 5
②hex(0x21DD09EC - 0x6C5CEC8 * 4)
,余数为0x6c5cecc
查看靶机为小端序(LSB executable
)
所以输入的低位字节在低地址,高位字节在高地址
0x6C5CEC8
=>\xc8\xce\xc5\x06
0x6c5cecc
=>\xcc\xce\xc5\x06
即shell构造为
./col `python -c 'print "\xc8\xce\xc5\x06" * 4 +"\xcc\xce\xc5\x06"'`
直接在靶机shell上执行payload获取flag
pwntools-EXP(假设靶机无python环境)
#!/bin/python
from pwn import *
payload = p32(0x6c5cec8) * 4 + p32(0x6c5cecc)
r = ssh('col', 'pwnable.kr', password='guest', port=2222)
p = r.process(executable='./col', argv=['col', payload])
flag = p.recv()
log.success("flag:" + flag.decode())
p.close()
r.close()
Flag
daddy! I just managed to create a hash collision :)