PWN--collision

最新推荐文章于 2020-10-26 16:20:16 发布
转载 最新推荐文章于 2020-10-26 16:20:16 发布 · 146 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/pw1scn/p/9548085.html

博客围绕www.pwnable.kr网站上的题目展开,需用终端连接服务器查看文件目录。查看flag权限不足,解题关键在于源码中的check_password函数。该函数将用户输入的20个字符串分组相加,需构造特定字符串,且输入数据要用小端序。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目来源:www.pwnable.kr

题目在网站提供的服务器上面,需要用终端连接进入题目,查看文件目录,发现有三个文件:

QQ截图20180828124321

查看flag,发现权限不够(要是够,还要做什么题。。。。)。查看源码col.c:

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
    int* ip = (int*)p;
    int i;
    int res=0;
    for(i=0; i<5; i++){
        res += ip[i];
    }
    return res;
}

int main(int argc, char* argv[]){
    if(argc<2){
        printf("usage : %s [passcode]\n", argv[0]);
        return 0;
    }
    if(strlen(argv[1]) != 20){
        printf("passcode length should be 20 bytes\n");
        return 0;
    }

    if(hashcode == check_password( argv[1] )){
        system("/bin/cat flag");
        return 0;
    }
    else
        printf("wrong passcode.\n");
        return 0;
}

源码的逻辑是从终端运行程序,输入一个值,第一步检查其长度是否为20,然后把这个数据经过一个check_password函数变化之后进行比较,所以突破点在于check_password这个函数。

现在我们看看check_password这个函数:

unsigned long check_password(const char* p){
    int* ip = (int*)p;
    int i;
    int res=0;
    for(i=0; i<5; i++){
        res += ip[i];
    }
    return res;
}

函数功能是将char类型的指针,转为int类型的指针,然后在将其相加,返回这五个值的和。char类型的为1个字节,int类型指针所占为4个字节,所以这用户输入的20个字符串将被分为5个组,然后相加值为0x21DD09EC,所以我们只需要构造一个字符串,这个字符串由五个16进制数据拼接而成:

QQ截图20180828142646.png

payload为:

QQ截图20180828142738.png

Tips:

这个地方有个坑点,就是数据输入的时候要使用小端序,所以我们的payload要逆序。

转载于:https://www.cnblogs.com/pw1scn/p/9548085.html

乱七八糟的pwn入门(三)——2.collision
Z_Pathon的博客
08-08 342
审题 首先来看题目: 看到了题目里的“MD5 hash collision”,意思是MD5哈希碰撞,作为一个学过密码学的人,还有点小激动,毕竟是我接触过的东西,可以不用查概念了。 跟上道题一样,先连上服务器再说: 可以看到,还是只有三个文件,那么就继续从C语言文件下手,代码如下: #include <stdio.h> #include ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 578
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
pwncollision
jxz_dz的博客
10-27 375
接前篇,记录下collision的搞法. 1.点击collision有如下显示,还是ssh登录,今天换一种登陆方式.用windows下的winscp将文件拷贝到本地.需要的在这安装 https://winscp.net/eng/docs/lang:chs 2.用winscp创建新的链接:连接后打开col.c文件,至于为什么要看轻翻看前一...
pwn学习--collision
Casuall的博客
03-21 791
pwn-test-collision 本题来自https://pwnable.kr,是第二道题——collision。   首先通过ssh连过去,有三个文件,y一个可执行文件,一个C源文件,一个没有读权限的flag文件。尝试运行这个可执行文件,直接运行该程序,提示后面需要添加参数passcode,随便输入几个字符运行,得到提示需要输入20个字符,再输入20个字符,提示passcode错误。如图所示...
pwnable 之collision
bluestar628的博客
03-28 1220
pwnable collision
PWN collision [pwnable.kr]CTF writeup题解系列2
重新启程
01-01 468
题目地址:http://pwnable.kr/play.php 先看看题目 都是简单题目,我直接把过程贴出来 root@mypwn:/ctf/work/reverse# ssh col@pwnable.kr -p2222 col@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
攻防世界 pwn-100
10-26 392
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
190706——【CTF】pwnpwnable.kr 刷题之 collision
DRondong的博客
07-06 715
此题为 pwnable.kr 中 toddler级别的第二题 涉及小端法存储,python -c,字符处理等知识 原题链接:https://pwnable.kr/play.php 题目描述: 依照昨天的套路,登上之后看可以文件,和昨天的第一题一模一样的套路: 直接看源码: #include <stdio.h> #include <string.h> unsigned ...
pwn学习:pwnable.kr collision
Richard_pl的博客
03-16 434
Day 2: Study pwn via pwnable.kr——collision 写在前面: 记录自己的学习过程,从零开始。。。第二天!!! 连接并检查相关文件 查看C源码 这里其实我们可以看出该代码的意思就是输入一个20字节的字符串,然后程序将这20字节字符串转化成5个4字节的int型数字,将四个数字的和作为最终输入与hashcode对比。可以看出hashcode为一个全局变量定义...
pwnable.kr】col
weixin_30412013的博客
06-30 187
pwnable从入门到放弃第二题, ssh col@pwnable.kr -p2222 (pw:guest) 同样是登录,然后看到了col.c、col、flag三个文件,读一下col.c #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned...
18.9.17 pwnable.kr----collision - 3 pt
qq_42192672的博客
09-17 269
同样的操作,找到c的源码 用(int*)强制转换,然后赋给给ip,ip的钱五个值的和等于res 刚开始我们要输入20个字节(强制转换成int型后,正好分成了五组) 执行check_password之后返回的值要等与0x21DD09EC 上脚本(参考了大佬的)第一次接触ssh #codeing=utf-8 from pwn import * import os pwn_ssh=ssh...
writeup-collision
charlie_heng的专栏
11-21 557
题目如下 Daddy told me about cool MD5 hash collision today. I wanna do something like that too!ssh col@pwnable.kr -p2222 (pw:guest)先连上去看下有什么东西 发现有个col.c 代码如下#include <stdio.h> #include <string.h> unsig
pwnable.kr-collision -Writeup
baikeng3674的博客
02-05 215
bof pwnable.kr-collision -Writeup 同第一题fd,ssh连接,ls -l查看文件, cat col.c得到代码如下 1 #include <stdio.h> 2 #include <string.h> 3 unsigned long hashcode = 0x21DD09EC; 4 unsigned ...
pwnable.kr 2.collision writeup
ditto的博客
12-12 545
拿到题目 先连上去。 ls查看目录得到 cat 查看下col.c的源代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string.h&amp;gt; unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; //这里将...
pwnable.kr collision
潜心学习
02-13 456
一朝入坑深似海……源地址pwnable.kr: pwnable.kr源码分析同第一题一样,使用 Linux 终端登录到题目中所提供的服务器后,使用 ls 命令查看目录文件。发现当前目录下有三个文件:col col.c flag既然有源代码,那我们直接使用 cat 命令查看一下 col.c 源码。1234567891011121314151617181920212223242526272829303...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值