[Toddle]collision

collision_WriteUp

보시면.. 이번엔 아빠가 MD5 hash을 이용해서 충돌된 하루를 만들었어?
나도 이런걸 원해요! 라는 거 같은데.. 뭔..

해당 C file을 살펴보면.. hashcode에 0x21DD09EC로 저장되어 있으며,
핵심은 check_password입니다.

나머지는 인자를 2개.. 즉 1이상 넣으시고 첫 인자를 넣었을때 길이가 20줄..로 맞춰야합니다.
그리고 check_password에 변조된 인자와 위 hashcode와 비교합니다.

즉, 인자값이 20이여야하며, hashcode와 check_password의 함수를 거친 값이 같아야합니다.

---

Exploit design

위 코드를 살펴보면, IP(argv[1]의 인자값)을 받아서 5개로 쪼개서
똑같은 값을 5번 int(4byte)로 누적 후 출력합니다. 

저 형식대로면 있는 hex값이 5로 데이터 나뉜상태로 쪼개져서 배열(포인터)로 접근
예시로 'ABCDE'를 5로 나누어 A..B..C..D..로 추가하여 넣습니다.
그래서 res와 hashcode부분의 사이즈도 동일하므로 문제 없겠지요(있다면 type?)

계산기로 간단히 계산하면..

왼쪽은 5로 나눈거 오른쪽은 다시 5를 곱한거

값의 차이가 나는데 아마 나눗셈을 했을때, 나머지가 존재(에시로 12/5)하므로
해당 차이인 4를 더해주며(hash-hash/5), 5번을 누적 반환했기에 추가적으로 넣어준다면
payload의 형태가.. 대략

6C5CEC8 * 0x4 + 21DD09E8+4(21DD09EC-21DD09E8)
= 6C5CEC8*0x4+21DD09DC

./col `python -c 'print("\xC8\xCE\xC5\x06"*4+"\xCC\xCE\xC5\x06")'`로
넣어서 실행해봅시다참고로 약간 다른건 바로 리틀엔디안 형식으로 제출해야하기 때문입니다.
(그 이유는 다들 아실거니까..)

pwntool로 작성하기에는.. 이전 fd랑 비슷하니까 넘어가겠습니다.
argv로 넣기에는 저거 다 해주고 바꿔야해서 귀찮네요..

참고로 hash collision이라는 문제를 알려줄려고 만든 문제 같은데요.
hash의 특징은.. 아래 링크들을 통해 보시면 알 수 있습니다.

자료구조 - 해시 함수(Hash Collision)종류와 충돌 처리 방식

해시 충돌 - 위키백과, 우리 모두의 백과사전

그래서 hash collision은 해쉬값의 충돌로써 큰 문제를 초래할 수 있습니다(그럴일은 매우 희박하나)
비슷한 보안적 측면의 문제로써는 race condition이 있겠습니다.

HackerSchool_level5

---

참고 자료

 

 

참고 이미지