[pwnable.kr] Toddler's Bottle - collision 문제

문제

---

https://pwnable.kr/play.php

https://pwnable.kr/play.php

ㅣ

문제 풀이

---

접속

ssh col@pwnable.kr -p 2222

 

코드 확인

ls 명령어로 파일 목록 확인 후 cat col.c로 코드 확인

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
	int* ip = (int*)p;
	int i;
	int res=0;
	for(i=0; i<5; i++){
		res += ip[i];
	}
	return res;
}

int main(int argc, char* argv[]){
	if(argc<2){
		printf("usage : %s [passcode]\n", argv[0]);
		return 0;
	}
	if(strlen(argv[1]) != 20){
		printf("passcode length should be 20 bytes\n");
		return 0;
	}

	if(hashcode == check_password( argv[1] )){
		system("/bin/cat flag");
		return 0;
	}
	else
		printf("wrong passcode.\n");
	return 0;
}

- 코드를 보면 hashcode와 check_password(argv[1])가 일치할 경우 flag를 표시

- check_password를 보면 char* p를 (int *)로 형변환하여서 int* ip에 넣어주는데 char는 1byte, int는 4byte기 때문에 int로 형변환을 할 경우 문자열 4개가 하나의 int형 변수로 취급된다.
=> ex) abcdabdc라는 char형이 있을경우 int로 형변환하면 abcd가 int[0]이 되는 것.

- strlen(argv[1])!=20 이기때문에 argv[1]은 20글자가 되야 함.

- 즉, argv[1]를 int* ip로 변환할 경우 ip[5] 배열로 4글자씩 들어감.

 

1. hashcode 0x21DD09EC를 5로 나눠준다.

- 0x21DD09EC / 5 = 0x6C5CEC8

- 하지만 0x6C5CEC8 * 5 = 0x877427A0

- 따라서 0x6C5CEC8 * 4 = 0x1B173B20, 0x21DD09EC - 0x1B173B20 = 6C5CECC

2. 결과적으로 입력해줘야하는 값은

./col `python -c 'print "\xC8\xCE\xC5\x06"*4+"\xcc\xce\xc5\x06"'`

 

 

실행 화면

---