-
-
[原创]pwnable.kr collision day2
-
2021-1-3 20:45 6208
-
基础知识
1 2 3 4 5 6 7 8 | char 16 位 2 字节 int 32 位 4 字节 小端字节序:little - endian,将低字节存放在内存的起始地址 大端字节序:big - endian,将高字节存放在内存的起始地址 Linux系统大小端判断 法一:lscpu | grep Endian 法二:echo - n I | hexdump - o | awk '{ print substr($2,6,1); exit}' 返回值为 0 是大端,为 1 是小端 |
题目
解题
1.查看文件列表
发现 col 用户无 flag 的读权限
2.分析 col.c 代码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | ``` #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC ; unsigned long check_password(const char * p){ int * ip = ( int * )p; int i; int res = 0 ; for (i = 0 ; i< 5 ; i + + ){ res + = ip[i]; } return res; } int main( int argc, char * argv[]){ if (argc< 2 ){ printf( "usage : %s [passcode]\n" , argv[ 0 ]); return 0 ; if (strlen(argv[ 1 ]) ! = 20 ){ printf( "passcode length should be 20 bytes\n" ); return 0 ; } if (hashcode = = check_password( argv[ 1 ] )){ system( "/bin/cat flag" ); return 0 ; } else printf( "wrong passcode.\n" ); return 0 ; } ``` |
我们的目标是运行第 25 行代码,获得 flag 内容。
首先我们需要输入一个 20 字节的 passcode
由 check_password() 可知,20 字节的字符串被转换成 5 组数字,返回值为五组数字的和,所以 passcode 由 5 个和为 0x21DD09EC 的数构成,如四个 0x01010101 与一个 0x1DD905E8。
注:Ubuntu 16。04 是小端字节序,注意数字写法,且此处不能使用四个 0x00000000 因为 0x00 是一个截断字符,程序读入argv[1]时如果遇到了0x00会自动截断,其他只要满足 5 个数和为 0x21DD09EC 即可
3.构造 payload
由于标准输入中,非字母数字以及符号的ASCII字符并不好输入,可利用 python 生成:
1 | python - c "print '\x01\x01\x01\x01'*4 + '\xe8\x05\xd9\x1d'" |
4. 获得flag
在终端输入
1 | . / col `python - c "print '\x01\x01\x01\x01'*4 + '\xe8\x05\xd9\x1d'" ` |
获得flag
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
赞赏
他的文章
[分享] pwnable.kr asm
9716
看原图