看一下col.c
#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
int* ip = (int*)p;
int i;
int res=0;
for(i=0; i<5; i++){
res += ip[i];
}
return res;
}
int main(int argc, char* argv[]){
if(argc<2){
printf("usage : %s [passcode]\n", argv[0]);
return 0;
}
if(strlen(argv[1]) != 20){
printf("passcode length should be 20 bytes\n");
return 0;
}
if(hashcode == check_password( argv[1] )){
system("/bin/cat flag");
return 0;
}
else
printf("wrong passcode.\n");
return 0;
}
需要传进去一个长度为20的参数,
然后会调用check_password对参数进行处理,
如果最后得到的结果和hashcode相等,
也就是0x21DD09EC,
就会读取flag文件
这里传进去的参数是20个char,
而在check_password中则当成int型处理
char型1个字节,
int型4个字节,
也就是四个char的值以小端法组合后被当成int型加到res变量中,
重复五次
实际上相当于我们要设法传入五个int,
使得这五个int的和等于目标值
最省事的做法当然是取均值
让每个int都等于0x21DD09EC的五分之一
注意到0x21DD09EC也就是568,134,124
568134124=113626825 * 4 + 113626824
再转回16进制
0x06C5CEC9 * 4 + 0x06C5CEC8
考虑到小端法存储,输入的顺序应该是
\xC8\xCE\xC5\x06\xC9\xCE\xC5\x06\xC9\xCE\xC5\x06\xC9\xCE\xC5\x06\xC9\xCE\xC5\x06
而这些都是不可见字符,没法直接输入进去
就需要借助python和反引号的内联执行