# collision **先備知識** - c: command line argument **知識點** - endianness - basic type size - c: pointer - ascii **writeup** ``` Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnable.kr -p2222 (pw:guest) ``` 先連上去看看 ```shell $ ls col col.c flag ``` 看flag是沒指望了，直接看`col.c` ***col.c*** ```c #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<5; i++){ res += ip[i]; } return res; } int main(int argc, char* argv[]){ if(argc<2){ printf("usage : %s [passcode]\n", argv[0]); return 0; } if(strlen(argv[1]) != 20){ printf("passcode length should be 20 bytes\n"); return 0; } if(hashcode == check_password( argv[1] )){ system("/bin/cat flag"); return 0; } else printf("wrong passcode.\n"); return 0; } ``` 可以看出來這個col要吃一個參數，20個字元，也就是20 bytes 如果這20個字元經過`check_password()`之後等於`0x21DD09EC` 就可以拿到flag 1個int = 4 bytes 20 bytes = 5個int 所以就來湊數字，5個數字湊到`0x21DD09EC`就好了 湊的數字最好要可以用ascii表打出來，這樣不用寫script 假設全部用空格的話，也就是`0x20202020` 五個就是`0xa0a0a0a0`也大過`0x21DD09EC`了 代表`0x21DD09EC`應該是沒辦法直接湊，可能要溢位之類的 我湊的結果是 `0x322d3030 + 0x2b2c234f + 0x2b2c237e + 0x2b2c307e + 0x6e2b6271 = 0x121dd09ec` 溢位之後正好是`0x21DD09EC` 再看一眼`check_password()` ***check_password()*** ```c unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<5; i++){ res += ip[i]; } return res; } ``` `char *`進去強轉成`int *` 也就是說本來讀取的時候是這樣  ~合併儲存格~變成這樣  所以我們的目標是把裡面填成這樣子  那要做到這件事牽涉到一個問題就是電腦怎麼擺放byte 現在大多數都是little-endian little-endian的意思就是 越重要 *(這裡想說的是significant)* 的byte放在address越高的地方 (另外一種big-endian就是反過來) 也就是說，以little-endian的放法  實際上是這樣子放的  換成ascii就是`00-2` 所以argv的前四項就是`00-2` 就依照這個想法全部放完 變成 `00-2O#,+~#,+~0,+qb+n` 可以拿flag了 ```shell $ ./col '00-2O#,+~#,+~0,+qb+n' daddy! I just managed to create a hash collision :) ``` submit，通過，開心