題目:
題目鏈接:http://pwnable.kr/play.php
——>連接登錄查看源碼如下:
#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
int* ip = (int*)p;
int i;
int res=0;
for(i=0; i<5; i++){
res += ip[i];
}
return res;
}
int main(int argc, char* argv[]){
if(argc<2){
printf("usage : %s [passcode]\n", argv[0]);
return 0;
}
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
else
printf("wrong passcode.\n");
return 0;
}
根據
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
得輸入的長度爲20
根據
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
得check_password[argv[1]] == hashcode,
即check_password[argv[1]] == 0x21DD09EC,
而check_password的作用就是將輸入的數據用整型轉換,求和返回。
如果輸入的數據爲12345678,用整型轉換時的內存情況如下:
對20個字節,要構造輸入的整型轉換後的5個整數求和 == 0x21DD09EC,第一個想法是:前16個字節賦\x00,最後4個字節爲0xEC09DD21,但是\x09是HTab,輸入會被阻斷。
第二個想法:前16個字節賦\x01,最後4個字節爲\xE8\x05\xD9\x1D,嗯,就這樣。
./col `python -c "print '\x01' * 16 + '\xE8\x05\xD9\x1D'"`
flag:daddy! I just managed to create a hash collision :)