博客介绍了pwnable.kr的collision挑战,讲解了如何通过Python脚本来解决这个问题。关键在于理解代码逻辑,将hashCode拆分为满足特定条件的五个字符串,注意内存小端存储和避免字符串结束标记。通过使用pwn库的p32()函数和subprocess.Popen来执行程序并获取flag。
这题先看题目源码
#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
int* ip = (int*)p;
int i;
int res=0;
for(i=0; i<5; i++){
res += ip[i];
}
return res;
}
int main(int argc, char* argv[]){
if(argc<2){
printf("usage : %s [passcode]\n", argv[0]);
return 0;
}
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
else
printf("wrong passcode.\n");
return 0;
}这段代码理解起来并不难,题目的意思就是将hashcode分成五份,每份都要在转化成16进制之后是一个长度为20的字符串,但是这里需要注意的是,1、注意内存中的小端存储,这个需要运用pwn库中的p32()来转换;2、每个子字符串中都不能出现字符串结束的标记:\x00。
接下来就是写python的脚本了,小弟认为,刚刚接触pwn的初学者来说,感觉脚本是一道很难跨越的坎儿,所以这里就慢慢的一步步来写脚本,先把脚本给出来
#!/usr/bin/python
import subprocess
from pwn import *
hashcode = 0x21DD09EC
a = 0x01020304
b = hashcode - 4 * a
payload = p32(a) * 4 + p32(b)
target = subprocess.Popen(args=['/home/col/col',payload])然后一步步来分析这段脚本:
首先第一行的
#!/usr/bin/python这个是为了声明这是一段python代码,防止运用./****执行该段脚本的时候出错,其他没有什么用;
import subprocess
from pwn import *这两行就是为了声明在python中已有的库中调用这两个模块;
hashcode = 0x21DD09EC
a = 0x01020304
b = hashcode - 4 * a
payload = p32(a) * 4 + p32(b)这几行就是对hashcode进行切分,首先是一个a字符串,然后是一个b字符串,最后总的可以看成是一个由4个a和1个b组成的五个字符串,也就是满足了题目的要求,其中payload便是题目所要求的那五个字符串;
target = subprocess.Popen(args=['/home/col/col',payload])subprocess.Popen函数的作用便是在一些复杂场景中,我们需要将一个进程的执行输出作为另一个进程的输入。具体的用法可以参考subprocess,所以这行代码的意思便是在home文件夹下的col目录中的col程序中运行payload。
之后便可得到flag。
OK,大功告成。
扫一扫
1910
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
