PWN collision [pwnable.kr]CTF writeup题解系列2

最新推荐文章于 2020-03-08 15:35:07 发布
最新推荐文章于 2020-03-08 15:35:07 发布
阅读量388 收藏
点赞数
分类专栏: pwnable.kr CTF 文章标签: ctf pwnable.kr pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103793789
版权

题目地址:http://pwnable.kr/play.php

先看看题目

 都是简单题目,我直接把过程贴出来

root@mypwn:/ctf/work/reverse# ssh col@pwnable.kr -p2222
col@pwnable.kr's password: 
 ____  __    __  ____    ____  ____   _        ___      __  _  ____  
|    \|  |__|  ||    \  /    ||    \ | |      /  _]    |  |/ ]|    \ 
|  o  )  |  |  ||  _  ||  o  ||  o  )| |     /  [_     |  ' / |  D  )
|   _/|  |  |  ||  |  ||     ||     || |___ |    _]    |    \ |    / 
|  |  |  `  '  ||  |  ||  _  ||  O  ||     ||   [_  __ |     \|    \ 
|  |   \      / |  |  ||  |  ||     ||     ||     ||  ||  .  ||  .  \
|__|    \_/\_/  |__|__||__|__||_____||_____||_____||__||__|\_||__|\_|
                                                                     
- Site admin : daehee87@gatech.edu
- IRC : irc.netgarage.org:6667 / #pwnable.kr
- Simply type "irssi" command to join IRC now
- files under /tmp can be erased anytime. make your directory under /tmp
- to use peda, issue `source /usr/share/peda/peda.py` in gdb terminal
Last login: Tue Dec 31 23:39:30 2019 from 125.238.93.17
col@prowl:~$ ls -la
total 36
drwxr-x---   5 root    col     4096 Oct 23  2016 .
drwxr-xr-x 116 root    root    4096 Nov 12 21:34 ..
d---------   2 root    root    4096 Jun 12  2014 .bash_history
-r-sr-x---   1 col_pwn col     7341 Jun 11  2014 col
-rw-r--r--   1 root    root     555 Jun 12  2014 col.c
-r--r-----   1 col_pwn col_pwn   52 Jun 11  2014 flag
dr-xr-xr-x   2 root    root    4096 Aug 20  2014 .irssi
drwxr-xr-x   2 root    root    4096 Oct 23  2016 .pwntools-cache
col@prowl:~$ exit
logout
Connection to pwnable.kr closed.
root@mypwn:/ctf/work/reverse# scp col@pwnable.kr:/home/col/col ./
ssh: connect to host pwnable.kr port 22: Connection refused
root@mypwn:/ctf/work/reverse# scp -P 2222 col@pwnable.kr:/home/col/col ./
col@pwnable.kr's password: 
col                                                                                    100% 7341    26.7KB/s   00:00    
root@mypwn:/ctf/work/reverse#

下载之后打开ida做反编译,代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax

  if ( argc > 1 )
  {
    if ( strlen(argv[1]) == 20 )
    {
      if ( check_password((int)argv[1]) == hashcode )
        system("/bin/cat flag");
      else
        puts("wrong passcode.");
      result = 0;
    }
    else
    {
      puts("passcode length should be 20 bytes");
      result = 0;
    }
  }
  else
  {
    printf("usage : %s [passcode]\n", *argv);
    result = 0;
  }
  return result;
}

int __cdecl check_password(int *arr_dwPasscode)
{
  signed int i; // [esp+4h] [ebp-Ch]
  int v3; // [esp+8h] [ebp-8h]

  v3 = 0;
  for ( i = 0; i <= 4; ++i )
    v3 += arr_dwPasscode[i];
  return v3;
}

还有一个关键变量定义

.data:0804A020                 public hashcode
.data:0804A020 hashcode        dd 21DD09ECh

然后就是要让下面这个判断成立

      if ( check_password((int)argv[1]) == hashcode )
        system("/bin/cat flag");

那就根据题目的意思写入5个32位的整数,因为不能有null(\x00),我就设置了4个p32(0x01010101),这样就没有null了。

具体的python脚本如下:

#coding:utf8
#!/usr/bin/env python
 
from pwn import *
 
context.log_level = 'debug'
process_name = './col'
passcode = 0x21DD09EC
payload = p32(passcode-4*0x01010101) + p32(0x01010101)*4
p = process(argv=[process_name, payload], env={'LD_LIBRARY_PATH':'./'})
# p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
# elf = ELF(process_name)

p.recv()
p.interactive()

服务器上不能写文件,但是可以打开python,执行情况如下:

col@prowl:~$ python
Python 2.7.12 (default, Nov 12 2018, 14:36:49) 
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> #coding:utf8
... #!/usr/bin/env python
...  
... from pwn import *
>>>  
... context.log_level = 'debug'
>>> process_name = './col'
>>> passcode = 0x21DD09EC
>>> payload = p32(passcode-4*0x01010101) + p32(0x01010101)*4
>>> p = process(argv=[process_name, payload], env={'LD_LIBRARY_PATH':'./'})
[x] Starting local process './col' argv=['./col', '\xe8\x05\xd9\x1d\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01']  env={'LD_LIBRARY_PATH': './'} 
[+] Starting local process './col' argv=['./col', '\xe8\x05\xd9\x1d\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01']  env={'LD_LIBRARY_PATH': './'} : pid 319647
>>> # p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
... # elf = ELF(process_name)
... 
>>> p.recv()
[DEBUG] Received 0x34 bytes:
    'daddy! I just managed to create a hash collision :)\n'
'daddy! I just managed to create a hash collision :)\n'
>>> p.interactive()
[*] Switching to interactive mode
[*] Process './col' stopped with exit code 0 (pid 319647)
[*] Got EOF while reading in interactive
[DEBUG] Sent 0x1 bytes:
    '\r' * 0x1
[*] Got EOF while sending in interactive

 

3riC5r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
乱七八糟的pwn入门(三)——2.collision
Z_Pathon的博客
08-08 258
审题 首先来看题目: 看到了题目里的“MD5 hash collision”,意思是MD5哈希碰撞,作为一个学过密码学的人,还有点小激动,毕竟是我接触过的东西,可以不用查概念了。 跟上道题一样,先连上服务器再说: 可以看到,还是只有三个文件,那么就继续从C语言文件下手,代码如下: #include <stdio.h> #include ...
pwncollision
jxz_dz的博客
10-27 309
接前篇,记录下collision的搞法. 1.点击collision有如下显示,还是ssh登录,今天换一种登陆方式.用windows下的winscp将文件拷贝到本地.需要的在这安装 https://winscp.net/eng/docs/lang:chs 2.用winscp创建新的链接:连接后打开col.c文件,至于为什么要看轻翻看前一...
PWN--collision
weixin_30786617的博客
08-28 104
题目来源:www.pwnable.kr 题目在网站提供的服务器上面,需要用终端连接进入题目,查看文件目录,发现有三个文件: 查看flag,发现权限不够(要是够,还要做什么题。。。。)。查看源码col.c: #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; u...
pwn学习--collision
Casuall的博客
03-21 663
pwn-test-collision 本题来自https://pwnable.kr,是第二道题——collision。   首先通过ssh连过去,有三个文件,y一个可执行文件,一个C源文件,一个没有读权限的flag文件。尝试运行这个可执行文件,直接运行该程序,提示后面需要添加参数passcode,随便输入几个字符运行,得到提示需要输入20个字符,再输入20个字符,提示passcode错误。如图所示...
pwnablecollision
bluestar628的博客
03-28 1148
pwnable collision
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
带exp的pwn测试文件
09-12
带exp的pwn测试文件、ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash
190706——【CTFpwnpwnable.kr 刷题之 collision
DRondong的博客
07-06 615
此题为 pwnable.kr 中 toddler级别的第二题 涉及小端法存储,python -c,字符处理等知识 原题链接:https://pwnable.kr/play.php 题目描述: 依照昨天的套路,登上之后看可以文件,和昨天的第一题一模一样的套路: 直接看源码: #include <stdio.h> #include <string.h> unsigned ...
pwn学习:pwnable.kr collision
Richard_pl的博客
03-16 334
Day 2: Study pwn via pwnable.kr——collision 写在前面: 记录自己的学习过程,从零开始。。。第二天!!! 连接并检查相关文件 查看C源码 这里其实我们可以看出该代码的意思就是输入一个20字节的字符串,然后程序将这20字节字符串转化成5个4字节的int型数字,将四个数字的和作为最终输入与hashcode对比。可以看出hashcode为一个全局变量定义...
pwnable.krcollision
搓雪小怪兽的工作室
04-12 185
ssh登录,源码如下: #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<...
pwnable.krcol
weixin_30412013的博客
06-30 158
pwnable从入门到放弃第二题, ssh col@pwnable.kr -p2222 (pw:guest) 同样是登录,然后看到了col.c、col、flag三个文件,读一下col.c #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned...
pwnable.kr col
weixin_30572613的博客
07-31 242
collision - 3 pt 连接上查看col.c源码 分析一下代码, 1、hashcode等于一个固定的值 2、check_password函数取输入数据,4个一组,将输入的字符转成int,然后加一起 3、main函数 输入值为两个,输入的数据要是20字节 我们输入的数据经过check_password之后加起来与hashcode相等 我们输入的时候不能...
pwnable.krcollision
Jason_ZhouYetao的博客
06-18 433
这题先看题目源码 #include &lt;stdio.h&gt; #include &lt;string.h&gt; unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i&lt;5...
COLLISION pwnable.kr wp
moep0的博客
10-27 241
  ssh col@pwnable.kr -p2222(pw:guest) 与上一题类似 类似的下下来看一看 一个int四个字节,所以p会被分成五段 根据大佬所讲,五段配凑起来即可 暴力刷也可以 或者 (0x21DD09EC-0x01010101*4)=0x1DD905E8 但是后面这个数字不是很好表达啊 python -c "print '\x01\x01\x01\x...
PWN题写出exp拿不到权限 Got EOF while sending in interactive
weixin_43723991的博客
03-08 3756
PWN题写出exp拿不到权限 上次在写一道十分简单的pwn题时,写完exp执行时,出现了 Got EOF while sending in interactive 当时以为是这个pwn题程序本身的问题,后来发现是自己的payload写错了。 没有拿到权限,所以用ls查看文件无效,直接退出 以后再出现这样的问题的时候,就可以知道是自己的e...
学习ctfpwn的网址
最新发布
03-15
2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值