【Writeup】Pwnable.kr 0x02 collision

0x02 col

题目描述：

Daddy told me about cool MD5 hash collision today.
I wanna do something like that too!

ssh [email protected] -p2222 (pw:guest)

解题思路：

ssh连接上后得到代码

#include 
#include 
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
    int* ip = (int*)p;
    int i;
    int res=0;
    for(i=0; i<5; i++){
        res += ip[i];
    }
    return res;
}

int main(int argc, char* argv[]){
    if(argc<2){
        printf("usage : %s [passcode]\n", argv[0]);
        return 0;
    }
    if(strlen(argv[1]) != 20){
        printf("passcode length should be 20 bytes\n");
        return 0;
    }

    if(hashcode == check_password( argv[1] )){
        system("/bin/cat flag");
        return 0;
    }
    else
        printf("wrong passcode.\n");
    return 0;
}

分析代码，要求是输入一个20字节的字符串，通过check_password()函数，得到的值与hashcode的值相等，则得到flag。
分析check_password()函数，将char类型的p强制类型转换成int类型，其中char类型是1字节为单位，int类型4字节为单位，而要求输入的是20个字节，那么20除以4等于5，刚好与check_password()函数里的for循环相吻合，所以，本题的解题要领就是通过5个部分的数字相加得到hashcode的值，那么将hashcode,0x21DD09EC分解一下（答案不唯一），我这里将其分解成4个0x06c5cec9和1个0x06c5cec8,在终端输入python -c 'print 4*"\xc9\xce\xc5\x06"+"\xc8\xce\xc5\06"' | xargs ./col得到flag。

• 这里要注意的是数字在内存中是按照小端序存储