Self-Improvement
[pwnable.kr] collision 풀이 본문
소스코드
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
int* ip = (int*)p;
int i;
int res=0;
for(i=0; i<5; i++){
res += ip[i];
}
return res;
}
int main(int argc, char* argv[]){
if(argc<2){
printf("usage : %s [passcode]\n", argv[0]);
return 0;
}
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
else
printf("wrong passcode.\n");
return 0;
}
|
cs |
20길이의 인자 값을 check_password() 함수에서 4바이트씩 더한 값을 0x21DD09EC 값과 같으면 flag를 출력해주고 있다.
GDB
check_password 함수를 살펴보면 check_password+39에서 ebp-0x8+=eax로 4바이트씩 더해주고 있다.
실제로 그러는지 "AAAABBBBCCCCDDDDEEEE"를 인자로 주고 확인해 본다.
check_password+39에 브레이크 걸린 상태에서 레지스터를 확인하면 eax에는 AAAA의 hex 값이 존재하게 된다.
ebp-0x8에는 현재 0이 있으며 수행하고 나면 0x41414141이 채워져 있을 것이다.
다시 브레이크 포인트가 걸릴때까지 실행하고 난뒤에 ebp-0x8를 확인해보면 0x41414141+0x42424242 값 0x83838383이 들어가 있을 것이다.
이런식으로 5번을 수행하여 0x21DD09EC 값과 같아야 한다.
풀이
0x21DD09EC를 5로 나누면 0x6C5CEC8이 나오는데 다시 곱하면 0x4만큼 모자라게 되어 0x6C5CEC8*4+0X6C5CECC로 해주면 될 것 이다.
./col `python -c 'print "\xc8\xce\xc5\x06"*4+"\xcc\xce\xc5\x06"'`
'리버싱 기초 > pwnable.kr' 카테고리의 다른 글
| [pwnable.kr] random 풀이 (0) | 2020.06.22 |
|---|---|
| [pwnable.kr] passcode 풀이 (scanf() 함수 취약점) (0) | 2020.06.22 |
| [pwnable.kr] flag 풀이 (0) | 2020.06.22 |
| [pwnable.kr] bof 풀이 (0) | 2020.06.22 |
| [pwnable.kr] FD 풀이 (0) | 2020.06.18 |
'리버싱 기초/pwnable.kr' Related Articles
more
