pwnable.kr第二题：collision

pwnable.kr

源码

unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
        int* ip = (int*)p;
        int i;
        int res=0;
        for(i=0; i<5; i++){
                res += ip[i];
        }
        return res;
}

int main(int argc, char* argv[]){
        if(argc<2){
                printf("usage : %s [passcode]\n", argv[0]);
                return 0;
        }
        if(strlen(argv[1]) != 20){
                printf("passcode length should be 20 bytes\n");
                return 0;
        }

        if(hashcode == check_password( argv[1] )){
                system("/bin/cat flag");
                return 0;
        }
        else
                printf("wrong passcode.\n");
        return 0;
}

解题

从主函数入手，根据源码可以看出，我们要运行程序的命令应为：./col + [passcode],而且这个passcode的长度为20，然后这个passcode会传入到check_password函数中返回出一个res,如果这个res == hashcode(0x21DD09EC)就能得到flag,解题关键就是理解check_password函数的运算逻辑。

在check_password中，我们传入了一个char型的p,然后使用 (int*)进行强制转换成int指针,char的存储大小为1字节,而int的存储大小为4字节，也就是说我们将输入的p转换成了5个数组,而这5个数组相加之和要等于0x21DD09EC

那我们可以简单的想0x21DD09EC = 4 * X + Y,简单设一下X = 0x04040404,则Y = 0x21DD09EC - 4 * 0x04040404 = 0x11CCF9DC

然后将他们传回去，就可以获得flag,但是要注意小端问题

flag = daddy! I just managed to create a hash collision :)