ふるつき

私は素直に思ったことを書いてるけど、上から目線だって言われる

ざるそば(かわいい)

kosen14s読書会の記事です。

kosen14s.github.io

高専生が異世界に飛ばされてしまう本と一緒にざるそば(かわいい)も買いました。

明らかにイロモノです。

つまるところ、ざるそばかわいい。ざるそばをざるそばするざるそばが可愛いということばかりが伝わってきました。あとは私の理解力を超えた。まじで人類にははやすぎた麺類小説なので挿絵で補完してほしくなりましたが明らかに最高の一冊です。

精進します。

すべてがFになる(というか森博嗣がわからないという話)

この記事は kosen14s読書会8日目の記事です。

kosen14s.github.io

1週したので2週目です。


すべてがFになるといえば森博嗣のデビュー作です。最近、「デボラ、眠っているのか?」を読んで森博嗣をまた読み返しています(本棚に「笑わない数学者」がなくて焦ってる)。

森博嗣、面白いですよね? ちょっとひねくれた考え方とか、事実に対してまっすぐなところとか、頭が良いところとか、共感が持てるというか、憧れます。こんな言動の人物になれたなら、私の人生は二重丸と言えそうです。

森博嗣、わからないですよね? とっても親切に、動機もトリックも解説してくれるのですが、心理描写もしてくれたり、あからさまに匂わせてくれたりするのですが、なんとなく、「わかった気にさせられてる」気がしませんか? 作中の何気ないあの一言が、あの一文が、わたしには読み切れていないのではないかと不安になります。もちろん、森博嗣の作品に限らず、どんな文章でもそれはそうなんだろうと思います。ただのクッションなのかもしれない絵kレド、実はなにかを伝えている一言、一コマなのではないかと疑ってかかればキリがないでしょう。でも、森博嗣の作品って、「すべてわかるようにつくられている」ような気さえしてきませんか? 私はします。するので、せっかく道筋までつけてくれているので、じゃあ提供されたものは全部読み尽くしたい、わかり尽くしたいと思ってしまいます。いつか、森博嗣の作品はすべてわかるって言える日がくるんでしょうか。

うーんなんかやっつけみたいになってしまいましたが、とにかく、私が「森博嗣は面白いけれど、その作品について私はわかりきれていないのではないか」と思っていることが解っていただければ、そして、森博嗣を読んで、もしかして共感してもらえれば(あるいは、すべてわかったという方はそれでも。そのときにはお知らせください!)、嬉しいかな、と思います。

Sharif7CTFのWriteUp

Harekazeというチームで野間マチコ役で、Sharif7CTFに参加していました。

Harekazeは651点で122位でした。出場チームは700で、そのうち1点より多い点を入れているのが、380なので、半分より少し上といったところです。日本チームのうちでは6位でした。

私は651点のうち300点にあたる二問を解いたのでWriteUpします。

StrangePDF

%PDF-1.7
1 0 obj 
<<
  /Type /Catalog
  /Pages 2 0 R
>>
endobj

2 0 obj
<<
  /Type /Pages
  /MediaBox [ 0 0 500 800 ]
  /Count 1
  /Kids [ 3 0 R ]
>>
endobj

3 0 obj
<<
  /Type /Page
  /Parent 2 0 R
  /Resources <<
    /XObject  <<
        /A 6 0 R
    >>
  >>
  /Contents 5  0 R
>>
endobj

4 0 obj
<<
  /Type /Font
  /Subtype /Type1
  /BaseFont /Times-Roman
>>
endobj

5 0 obj 
<<
  /Length 359
>>
stream
 q
  10 0 0 10 250 400 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
  0.7 0.5 -0.5 0.7 0 0 cm
  /A Do
 Q
endstream
endobj

6 0 obj
  << /Type /XObject
     /Subtype /Form
     /FormType 1
     /BBox [ 0 0 1000 1000 ]
     /Matrix [ 1 0 0 1 0 0 ]
     /Resources <<
        /ProcSet [ /PDF ]
        /Font <<
          /F1 4 0 R
     >>
  >>
     /Length 68
  >>
stream
 BT
  /F1 4 Tf
  1 0 0 1 0 3 Tm
  (SharifCTF) Tj
 ET
endstream
endobj

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% set width to 2
% moveto 100 650
% lineto 100 620
% ...
% ..

7 0 obj
<</Length 283>>
stream
2 w
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l 
120 620 m 140 620 l 
120 615 m 120 595 l 
120 590 m 140 590 l 

160 650 m 180 650 l 
180 645 m 180 625 l 
160 620 m 180 620 l 
180 615 m 180 595 l 
160 590 m 180 590 l 
S
endstream
endobj

8 0 obj
<</Length 318>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

9 0 obj
<</Length 234>>
stream
2 w 

140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

10 0 obj
<</Length 257>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

11 0 obj
<</Length 236>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l 
160 620 m 180 620 l 
160 615 m 160 595 l 
160 590 m 180 590 l 

S
endstream
endobj

12 0 obj
<</Length 257>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

13 0 obj
<</Length 318>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

14 0 obj
<</Length 257>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

15 0 obj
<</Length 318>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

16 0 obj
<</Length 254>>
stream
2 w 

140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l
160 615 m 160 595 l 
S
endstream
endobj

17 0 obj
<</Length 194>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l 
180 615 m 180 595 l 
S
endstream
endobj

18 0 obj
<</Length 215>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 620 m 180 620 l 
180 645 m 180 625 l
160 645 m 160 625 l  
180 615 m 180 595 l 
S
endstream
endobj


19 0 obj
<</Length 194>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l 
180 615 m 180 595 l 
S
endstream
endobj


20 0 obj
<</Length 237>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
160 645 m 160 625 l 
160 620 m 180 620 l  
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

21 0 obj
<</Length 236>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l 
160 620 m 180 620 l 
160 615 m 160 595 l 
160 590 m 180 590 l 
S
endstream
endobj

22 0 obj
<</Length 61>>
stream
2 w 

140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

23 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

24 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

25 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 160 620 l 
160 615 m 160 585 l 
S
endstream
endobj

26 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
160 645 m 160 625 l 
160 620 m 180 620 l  
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

27 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 160 620 l 
160 615 m 160 585 l 
S
endstream
endobj

28 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 615 m 120 595 l 
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 615 m 160 595 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

29 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
160 645 m 160 625 l 
160 620 m 180 620 l  
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj


30 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l 
180 615 m 180 595 l 
S
endstream
endobj

31 0 obj
<</Length 61>>
stream
2 w 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

32 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 160 620 l 
160 615 m 160 585 l

S
endstream
endobj

33 0 obj
<</Length 61>>
stream
2 w 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj

34 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l 
160 620 m 180 620 l 
160 615 m 160 595 l 
160 590 m 180 590 l 

S
endstream
endobj

35 0 obj
<</Length 61>>
stream
2 w 

140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l
160 615 m 160 595 l 
 
S
endstream
endobj

36 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 650 m 180 650 l 
180 645 m 180 625 l 
180 615 m 180 595 l 
S
endstream
endobj

37 0 obj
<</Length 61>>
stream
2 w 

120 650 m 140 650 l 
140 645 m 140 625 l
120 645 m 120 625 l  
120 620 m 140 620 l 
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l
160 645 m 160 625 l  
160 620 m 180 620 l 
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj


38 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l

160 650 m 180 650 l 
180 645 m 180 625 l 
160 620 m 180 620 l 
160 615 m 160 595 l 
160 590 m 180 590 l 

S
endstream
endobj


39 0 obj
<</Length 61>>
stream
2 w  

120 650 m 140 650 l 
120 645 m 120 625 l 
120 620 m 140 620 l  
120 590 m 140 590 l 
140 615 m 140 595 l 

160 620 m 180 620 l 
180 645 m 180 625 l
160 645 m 160 625 l  
180 615 m 180 595 l 
S
endstream
endobj

40 0 obj
<</Length 61>>
stream
2 w 
100 650 m 100 620 l 
100 615 m 100 585 l 

120 650 m 140 650 l 
140 645 m 140 625 l 
120 620 m 140 620 l 
120 615 m 120 595 l 
120 590 m 140 590 l 

160 650 m 180 650 l 
160 645 m 160 625 l 
160 620 m 180 620 l  
160 590 m 180 590 l 
180 615 m 180 595 l 
S
endstream
endobj



xref
0 40
0000000000 65535 f
0000000010 00000 n
0000000079 00000 n
0000000173 00000 n
0000000301 00000 n
0000000380 00000 n
0000000450 00000 n
trailer
<<
  /Size 8
  /Root 1 0 R
>>
startxref
600
%%EOF

というようなPDFが渡されます。みると、ぐるぐるの「SharifCTF」という文字があるPDFなんですが、objの7 0から40 0までが使われていないようだったので、27行目あたりの参照を変更してやると、数字が描画されました。 ということで、objの7 0から40 0までを描画するように適当にスクリプトを描いて、出てきた数値をascii表に従って変換してやるとFLAGがでました。 {d1242d2d0969741dde7ed79c3c409c46}

スクリプトはこんな感じです。

import os

for i in range(7, 41):
    os.system("cp strange_pdf.pdf {}.pdf".format(i))
    os.system(r"sed -i '27 s/\[[0-9]*/[{}/g' {}.pdf".format(i, i))

Scrack

バイナリが渡されるのでgdbで解析しようとするとなんか Don't follow me ぽいことを言われるので objdump してやるとこんなフレーズが出てきて、

...snip...

  400acb:   31 c0                   xor    eax,eax
  400acd:   74 fa                   je     400ac9 <main+0x7c>
  400acf:   e8 0f b6 45 b0          call   ffffffffb085c0e3 <_end+0xffffffffb0259e0b>
  400ad4:   3c 38                   cmp    al,0x38
  400ad6:   0f 85 bc 03 00 00       jne    400e98 <main+0x44b>
  400adc:   0f b6 45 b1             movzx  eax,BYTE PTR [rbp-0x4f]
  400ae0:   3c 37                   cmp    al,0x37
  400ae2:   0f 85 b0 03 00 00       jne    400e98 <main+0x44b>
  400ae8:   0f b6 45 b2             movzx  eax,BYTE PTR [rbp-0x4e]
  400aec:   3c 34                   cmp    al,0x34
  400aee:   0f 85 a4 03 00 00       jne    400e98 <main+0x44b>
  400af4:   0f b6 45 b3             movzx  eax,BYTE PTR [rbp-0x4d]
  400af8:   3c 30                   cmp    al,0x30
  400afa:   0f 85 98 03 00 00       jne    400e98 <main+0x44b>
  400b00:   0f b6 45 b4             movzx  eax,BYTE PTR [rbp-0x4c]
  400b04:   3c 33                   cmp    al,0x33
  400b06:   0f 85 8c 03 00 00       jne    400e98 <main+0x44b>
  400b0c:   0f b6 45 b5             movzx  eax,BYTE PTR [rbp-0x4b]
  400b10:   3c 38                   cmp    al,0x38
  400b12:   0f 85 80 03 00 00       jne    400e98 <main+0x44b>
  400b18:   0f b6 45 b6             movzx  eax,BYTE PTR [rbp-0x4a]
  400b1c:   3c 65                   cmp    al,0x65
  400b1e:   0f 85 74 03 00 00       jne    400e98 <main+0x44b>
  400b24:   0f b6 45 b7             movzx  eax,BYTE PTR [rbp-0x49]
  400b28:   3c 34                   cmp    al,0x34
  400b2a:   0f 85 68 03 00 00       jne    400e98 <main+0x44b>
  400b30:   0f b6 45 b8             movzx  eax,BYTE PTR [rbp-0x48]
  400b34:   3c 62                   cmp    al,0x62
  400b36:   0f 85 5c 03 00 00       jne    400e98 <main+0x44b>
  400b3c:   0f b6 45 b9             movzx  eax,BYTE PTR [rbp-0x47]
  400b40:   3c 36                   cmp    al,0x36
  400b42:   0f 85 50 03 00 00       jne    400e98 <main+0x44b>
  400b48:   0f b6 45 ba             movzx  eax,BYTE PTR [rbp-0x46]
  400b4c:   3c 65                   cmp    al,0x65
  400b4e:   0f 85 44 03 00 00       jne    400e98 <main+0x44b>
  400b54:   0f b6 45 bb             movzx  eax,BYTE PTR [rbp-0x45]
  400b58:   3c 32                   cmp    al,0x32
  400b5a:   0f 85 38 03 00 00       jne    400e98 <main+0x44b>
  400b60:   0f b6 45 bc             movzx  eax,BYTE PTR [rbp-0x44]
  400b64:   3c 39                   cmp    al,0x39
  400b66:   0f 85 2c 03 00 00       jne    400e98 <main+0x44b>
  400b6c:   0f b6 45 bd             movzx  eax,BYTE PTR [rbp-0x43]
  400b70:   3c 62                   cmp    al,0x62
  400b72:   0f 85 20 03 00 00       jne    400e98 <main+0x44b>
  400b78:   0f b6 45 be             movzx  eax,BYTE PTR [rbp-0x42]
  400b7c:   3c 66                   cmp    al,0x66
  400b7e:   0f 85 14 03 00 00       jne    400e98 <main+0x44b>
  400b84:   0f b6 45 bf             movzx  eax,BYTE PTR [rbp-0x41]
  400b88:   3c 30                   cmp    al,0x30
  400b8a:   0f 85 08 03 00 00       jne    400e98 <main+0x44b>
  400b90:   0f b6 45 c0             movzx  eax,BYTE PTR [rbp-0x40]
  400b94:   3c 38                   cmp    al,0x38
  400b96:   0f 85 fc 02 00 00       jne    400e98 <main+0x44b>
  400b9c:   0f b6 45 c1             movzx  eax,BYTE PTR [rbp-0x3f]
  400ba0:   3c 39                   cmp    al,0x39
  400ba2:   0f 85 f0 02 00 00       jne    400e98 <main+0x44b>
  400ba8:   0f b6 45 c2             movzx  eax,BYTE PTR [rbp-0x3e]
  400bac:   3c 38                   cmp    al,0x38
  400bae:   0f 85 e4 02 00 00       jne    400e98 <main+0x44b>
  400bb4:   0f b6 45 c3             movzx  eax,BYTE PTR [rbp-0x3d]
  400bb8:   3c 62                   cmp    al,0x62
  400bba:   0f 85 d8 02 00 00       jne    400e98 <main+0x44b>
  400bc0:   0f b6 45 c4             movzx  eax,BYTE PTR [rbp-0x3c]
  400bc4:   3c 67                   cmp    al,0x67
  400bc6:   0f 85 cc 02 00 00       jne    400e98 <main+0x44b>
  400bcc:   0f b6 45 c5             movzx  eax,BYTE PTR [rbp-0x3b]
  400bd0:   3c 34                   cmp    al,0x34
  400bd2:   0f 85 c0 02 00 00       jne    400e98 <main+0x44b>
  400bd8:   0f b6 45 c6             movzx  eax,BYTE PTR [rbp-0x3a]
  400bdc:   3c 66                   cmp    al,0x66
  400bde:   0f 85 b4 02 00 00       jne    400e98 <main+0x44b>
  400be4:   0f b6 45 c7             movzx  eax,BYTE PTR [rbp-0x39]
  400be8:   3c 30                   cmp    al,0x30
  400bea:   0f 85 a8 02 00 00       jne    400e98 <main+0x44b>
  400bf0:   0f b6 45 c8             movzx  eax,BYTE PTR [rbp-0x38]
  400bf4:   3c 32                   cmp    al,0x32
  400bf6:   0f 85 9c 02 00 00       jne    400e98 <main+0x44b>
  400bfc:   0f b6 45 c9             movzx  eax,BYTE PTR [rbp-0x37]
  400c00:   3c 32                   cmp    al,0x32
  400c02:   0f 85 90 02 00 00       jne    400e98 <main+0x44b>
  400c08:   0f b6 45 ca             movzx  eax,BYTE PTR [rbp-0x36]
  400c0c:   3c 35                   cmp    al,0x35
  400c0e:   0f 85 84 02 00 00       jne    400e98 <main+0x44b>
  400c14:   0f b6 45 cb             movzx  eax,BYTE PTR [rbp-0x35]
  400c18:   3c 39                   cmp    al,0x39
  400c1a:   0f 85 78 02 00 00       jne    400e98 <main+0x44b>
  400c20:   0f b6 45 cc             movzx  eax,BYTE PTR [rbp-0x34]
  400c24:   3c 33                   cmp    al,0x33
  400c26:   0f 85 6c 02 00 00       jne    400e98 <main+0x44b>
  400c2c:   0f b6 45 cd             movzx  eax,BYTE PTR [rbp-0x33]
  400c30:   3c 35                   cmp    al,0x35
  400c32:   0f 85 60 02 00 00       jne    400e98 <main+0x44b>
  400c38:   0f b6 45 ce             movzx  eax,BYTE PTR [rbp-0x32]
  400c3c:   3c 63                   cmp    al,0x63
  400c3e:   0f 85 54 02 00 00       jne    400e98 <main+0x44b>
  400c44:   0f b6 45 cf             movzx  eax,BYTE PTR [rbp-0x31]
  400c48:   3c 30                   cmp    al,0x30
  400c4a:   0f 85 48 02 00 00       jne    400e98 <main+0x44b>

...snip...

cmpに指定されている文字を連結して文字列にしてやって、入力するとフラグが出ました。

SharifCTF{ed97d286f356dadb5cde0902006c7deb}

なんか簡単でよくわからないけど、SECCON Onlineの時よりはチームに貢献できたと思います。

Kosen14's読書感想文2nd「放課後スプリング・トレイン」

この記事は、

kosen14s.github.io

の1日目の記事です。

Kosen14's読書会

Kosen14'sという、「14年入学の高専生がわいわいやるコミュニティ」で、「なんか読もうよ」がまかり間違って、みんなで読書感想文を投稿するイベントになったものです。最初は輪読会みたいな感じになると思ってた。

前回の読書会が(仲間内では)好評だったので、今週はKosen14'sの面々が、AdventCalendar代わりに、また読書感想文を投稿します。

過去の読書会に関しては、 http://kosen14s.github.io/bookclub/ を参照してください。

今年の本の話とか

 今年もいろんな本がでました。私もいろんな本を読みました。今年出た本で面白かった/印象に残ったのは

家庭用事件 (創元推理文庫)

家庭用事件 (創元推理文庫)

 とかです。あとは、

なんかも流行れって思ってます。個人的に、今年発見したのは橋本紡とかですが。

 それはそれとして、今回ワタシが「読んだよ!」って言いたい本は、吉野泉の「放課後スプリング・トレイン」です。

 この記事では、「放課後スプリング・トレイン」を読んで思ったこと、感じたことをお伝えするとともに、これを布教したいです。

放課後スプリング・トレイン

 創元推理文庫です。日常の謎系です。いわゆる青春ミステリというやつです。私はこのジャンルがいたく気に入っています。

 吉野泉というひとのデビュー作で、ばんばん書いてほしいです。

 舞台は福岡の都会の方。主人公は女子高生で、日常の中からいろんな不思議を探し出してきます。この子は疑問を持つのがとっても上手で、放って置いたらすぐに見失ってしまいそうな、なぞとも呼べないようななぞをはしとつかんで考えるんですね。「あれ、これは変じゃないか」って思って、考える。

 そして、そのなぞを解いていくのが、Q大の院生の飛木さんという人です。寡黙な人だけど、よく考えて喋る。言葉が選び抜かれてるような印象を受けました。この人が、話をきいてそれからゆっくりと語るさまは、とっても安心できます。

 という話が、4つほど入っているのが、放課後スプリング・トレインです。どのお話も、やわらかくて、みずみずしくて、安心できるような感じです。伝わるだろうか。つたわれ。

うまい小説だなと思った

 なにが、「うまい」のか、うまく伝えられないんですけど、話の運び方がうまいと感じたのと、作中の登場人物の台詞がうまいんですね、たぶん。特に、みんな喋ることが、よくできてて、現実にそんなにうまくは行かないんだろうけど、憧れるなあみたいな会話をしてくれる。それがみずみずしさと、安定感とをうまくつくりあげてそうだなと思いました。

まちが思い浮かぶ

これは私が二度ほど福岡のまちを訪れて、大変な好意を抱いたとかそういうことも関係してるんだとは思いますが、はじめて、物語を読んで、刻銘に町並みや、学校が見えてきました。これは私には驚きの体験で、ちょっとはしゃぎました。だから、福岡の街を知ってるよって人には、ちょっとおすすめしたいです。

もっと読みたい

 もっと、いろんななぞを見つけて欲しい。いろんな答えにたどり着いて欲しい。いろんな思考を見せて欲しいって思いました。

おわり

 わたしはこの小説を読んで、あたまからおしりまで「おもしろい!」って思ったし、今年読んだ中で最高の小説だと思いました。だからいろんな人に読んでもらいたいし、この作者さんがもっと物語を書いてもらいたいし、私は「おもしろい」っておもって、それを伝えたいと思いました。

感想なのか布教なのかファンレターなのかよくわからない感じになってしまいましたが、この記事はこれでおしまいです。来年はどんな面白い本に巡り会えるか、楽しみです。

東工大推薦入試への道は閉ざされた

 ちょっと悲しくなったので書く

東工大推薦入試とは

 天下の東工大へ倍率2倍くらいで臨める制度。これで入学したら何があるとか、どんなすごいひとが 入学してるとかはしらない。センター試験と推薦書だけで応募できてお手軽。

スーパーコンピューティングコンテストで3いに入賞した

 そんなに大した功績じゃないと思うんだけど、これを開いてるのが東工大なので、これで3位以上になると、東工大に推薦入試できそうな感じになる。他の人は頑張って学外で発表するとか、IOIに出るとかしないといけないのでこれはめちゃめちゃ楽コース。

センター出願

 センター試験は受けないといけないので出願した。ぎりぎりに出願したので学校の事務の人に迷惑かけました。

推薦申し込み

 9月頃から申込書は取り寄せられたけど知らずに11月ごろにやっと取り寄せて書いた。振込もして、あとはセンター試験の書類が届いたら貼って学校に投げるだけにしておいた。

推薦できないらしい

東工大を受けて退学する人間」は「学校長が責任を持って推薦できる」人間ではないらしい。それはそうか。そうなのか。う~ん、残念→断念。

まとめ

 弊高専に通ってる人は推薦入試を受けられません残念でした。まかりまちがって期待して、センター試験東工大に多額のお金を寄付しないようにしましょう。

追記

あとになってこのときは感情的すぎたと思ったので追記します。もし、弊学から、真剣に推薦入試を受けたいという人がいたならば、このポストをみて諦めたりせずに、とりあえずやりたいことを教員に伝えてください。どこにも親切だったりお人好しだったりする人はいて、きっと力になってくれます。

 

hsp初心者なのでゲーム作った

これは、

Hot Soup Processor Advent Calendar 2016 - Qiita

の4日目の記事です。思ってたのの9倍くらい登録してる人がいてびっくりしました。

hspを使ってゲームを作りました

 私は現代視覚文化研究会、「げんしけん」に所属していて(漫画のげんしけんとは似て非なる現視研です)。毎年の高専祭(弊高専の学祭)では、仲間たちと作った自作のゲームを展示しています(今年で三年目)。

 一年生のときはDXライブラリで頑張っていたのですが、去年は突貫で作らざるを得なくなってしまい(他の現視研の人が作るゲームを応援してたけどそれが頓挫した)、HSPを使ったところ短期間でそれなりのものが出来て、味をしめました。それで今年は「HSPで突貫で作るぞ」という予定をたてて、2週間くらいで作りました。

 それで出来たのがこんなゲームです。

 これを書いていて感じたこと、嵌ったポイントを書いて、お茶を濁そうと思います。hspはお手軽なのでちょっとゲーム作りたいとかツール作りたいとかいうときにおぼえておきたいこととかね。

HSPスクリプトエディタを使おう

このアドベントカレンダーではHSPスクリプトエディタでは不満足という方がVimHSPする記事を書いてくれていたり、Nodepad++でHSPする記事を書いてくれそうな気がしますが、お手軽さを求めてHSPを使うなら、HSPスクリプトエディタが多分最善の選択肢です。 なんの設定もしなくても結構使い物になります。軽いし。

F5で実行するのとF1でヘルプ見るのだけ憶えておけば行けそうということがわかりました。

F1ヘルプを使おう

これがHSPスクリプトエディタを使う理由みたいなものです。適当なキーワードにカーソルを合わせるとヘルプというかドキュメントが出ます。これが軽いしそこそこわかりやすいし便利なのでいろいろ検索しましょう。

#cmpopt varinit 1しよう

 というかしないと死にます。これは「未初期化の変数があると警告してくれる」機能をオンにするやつで、"use strict"みたいなものです。hspスクリプトエディタはソースコードの解析してくれないし、hspはいきなりtypoで変な変数作っても普段は(HSP的には)いい感じにしてくれちゃうのでバグに気が付きにくいので、必ずソースコードの戦闘で #cmpopt varinit 1 しておきましょう。

 ただしこれ、ソースコードを上から下にみるだけなので、gotoとかgosubをうまく解釈してくれないのが玉に瑕です。

ループの中でreturnしてはいけない

 HSPはちょっと阿呆なところがあって、repeatwhile のなかで return してしまうと、スタックがごにょごにょして挙動がほげります。しっかりbreakしましょう。

 これは師匠に言われないと絶対に分からなかったしはまりどころですね。

gosubしたらreturnで値を返せる

 これは常識かもしれませんが、しらなかったので。gosubで飛んだ先では return hoge として値を返すことができます。返した値は、整数は stat に、文字列ならば refstr に格納されます。


とりあえずこんなところですか。hspは初心に帰って書いてるとそれなりにイケてると感じられるので、来年も書こうかな~と思います。

高専セキュリティコンテストに参加した

 高専セキュリティコンテストに参加しました。insecureというチームで、thrust2799、kyumina、mi_24vと一緒に参加して、3位でした。

 不満もありましたが、それを補って余るほど楽しいコンテストでした。来年も盛大に開催されることを心待ちにしています。

f:id:Furutsuki:20161127194028j:plain

(画像が荒いですが送られてきたpdf賞状もこんなもんなんです)

f:id:Furutsuki:20161206121411p:plain

高専セキュリティコンテストとは

今回が初開催となる、高専生のための、セキュリティコンテストです。 今年は高知高専が主管校となり、会場に集って、あるいはオンラインで、全国から33チーム(各高専2チームまで、1チーム4名まで)が参加しました。

はじめの印象

 うーんどうなんだろうと思っていました。高専とセキュリティ、さらにIoTということで地雷原しかないと感じていました。しかし、せっかく、せっかく高専側がセキュリティの大会を用意してくれるということで、私らも貢献すべきだと思い参加を決定しました。

 申し込み時に、公式(?)サイトが死んでいてやばそうと感じました。

Slackが開く

 参加者を集めるSlackが開きました。これが今回の最大の成功だと思っていて、Slackでは他高専高専生や運営と楽しく盛り上がることができました。

 Slackではemojiやreactionの追加や自由な書き込みが許可されて、 自己紹介や雑談に花が咲きました。ここで、カジュアルに書き込みができる雰囲気が作られたのはとても良いと思いました(とくにemojiのちからはつよい。運営側に対して、硬すぎない、無礼でないやりとりができたので)。

 Slackではもちろん運営からの連絡もあって、競技環境の事前公開(本番環境と近い部分がある)が公開されて接続テストをしたり、問題の予告がでたりしました。

 ひとつだけ心残りだったのは、私ら騒ぎすぎたかな、ということです。私めっちゃSlackで発言してたので、他の人が萎縮してしまったのではないかと危惧しています。本当はどうだったのか、ちょっとわからないですが……。

当日まで

 接続テストがありました。オンライン参加のチームにはとても重要なことでした。接続は事前に申告した高専のネットワークからしかできず(多分IPではじいてた)、テスト前とかあってぎりぎりになりましたが、ちゃんと接続が確認できました。

 さらに、その環境には問題の予告が置いてありました。今回の問題はIoT関連ということで、IoTカー、というものに焦点があたっていました。サーバにはiotcarというシェルスクリプト(多分。iotcar.pyを実行するだけ)と、iotcar.pyというpythonスクリプトが置いてあり、どちらも所有者がrootになっており、読み書き実行の権限は基本的にありませんでしたが、iotcarは、実行可能フラグとスティッキービットsetuid ビットが立っていました(実行時に、所有者の権限で実行される)。

iotcar.pyはIoTカーを模倣したスクリプトで、UDPで適当なパケットを送りつけると、それにあわせた動作をする、かわりに /etc/iotcar 以下に結果を吐き出します。事前環境では、「アクセルの踏み込み量」のみを操作可能でした。

./iotcar でパケットを待ち受けた状態で、 0xf0, 0x40, 0x01, 0x10, 0x04, 0xff, 0xff, 0x01, 0x02, 0xf7 のようなパケットを送りつけると /etc/iotcar/motor に 0xffffが書き込まれることを確認しました(パケット中の0xff, 0xffを書き換えるとmotorに書き込まれる値も変わった)。

これと、IoTカーの仕様のようなものが公開されていたので、こんなスクリプトを組んで準備していました。

import socket
import array
import argparse
import sys

command_help = """
command list

sportsmode   sports mode         0-255 center is 128
handle       handle degree       0-255 center is 128
brake        brake               0-255
accel        accel               0-255
charge       battery charge      0: charge mode, 1: run mode
hybrid       energy mode         0: hybrid, 1: electron, 2: gasoline
gear         gear                0|N: neutral, 1-5: n speed 254|R: back, 255|P: parking
engine       power on off        0|off: power off, 1|on: power on

window                           0|close: close, 1|open: open
windowlock                       0|off: free, 1|on: locked
temp         aircon temperature  0-45
airmode      aircon run mode     0|off: off, 1: cooler, 2: heater, 3: wind only
loof         ????                0|off: off, 1|on: on
kumoridome                       0|off: off, 1|on: on
wiper                            0|off: off, 1|on: on
doorlock                         0|off: free, 1|on: locked
door         open/close          0|close: close, 1|open: open
hazard       hazard lamp         0|off: off, 1|on: on
light        small light         0|off: off, 1|on: on
navi                             0|off: off, 1|on: on
audio                            0|off: off, 1|on: on
highbeam     highbeam light      0|off: off, 1|on: on
craction     1sec craction       0: dummy value
ABS          smooth brake aid    0|off: off, 1|on: on
4WD                              0|off: off, 1: auto, 2|on: on
"""

commandlist = {
        'sportsmode': [0x10, 1],
        'handle':     [0x10, 2],
        'brake':      [0x10, 3],
        'accel':      [0x10, 4],
        'charge':     [0x10, 5],
        'hybrid':     [0x10, 6],
        'gear':       [0x10, 7],
        'engine':     [0x10, 8],

        'window':     [0x20, 1],
        'windowlock': [0x20, 2],
        'temp':       [0x20, 3],
        'airmode':    [0x20, 4],
        'loof':       [0x20, 5],
        'kumoridome': [0x20, 6],
        'wiper':      [0x20, 7],
        'doorlock':   [0x20, 8],
        'door':       [0x20, 9],
        'hazard':     [0x20, 10],
        'light':      [0x20, 11],
        'navi':       [0x20, 12],
        'audio':      [0x20, 13],
        'highbeam':   [0x20, 14],
        'headlamp':   [0x20, 15],
        'cracshon':   [0x20, 16],
        'ABS':        [0x20, 17],
        '4WD':        [0x20, 18],
}

def send(address, port, command, value, key, v2=0):
        server_address = (address, port)
        max_size = 10

        key1 = (key & 0xff00) >> 8
        key2 = key & 0x00ff

        subid, cmdid = commandlist[command]

        if value == "close" or value == "off":
                value = 0
        elif value == "open" or value == "on":
                value = 1
                if command == '4WD':
                        value = 2
        else:
                value = int(value)

        print("{} with ({}, {})".format(command, value, v2))

        client = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        client.sendto(array.array("B", [0xf0, 0x40, 0x01, subid, cmdid, value, v2, key1, key2, 0xf7]), server_address)
        client.close()

if __name__ == '__main__':
        parser = argparse.ArgumentParser(formatter_class=argparse.RawTextHelpFormatter)

        parser.add_argument('-a', '--addr', default='localhost', type=str)
        parser.add_argument('-p', '--port', default=52782, type=int)
        parser.add_argument('command', type=str, help=command_help)
        parser.add_argument('value')
        parser.add_argument('-v2', default=0)
        parser.add_argument('key', type=str, help="0xkey1key2")

        args = vars(parser.parse_args())


        if not args['command'] in commandlist:
                print(helpmsg)
                sys.exit()

        try:
                args['key'] = int(args['key'], 16)
        except:
                print("key is not hex value")
                sys.exit()
        send(args['addr'], args['port'], args['command'], args['value'], args['key'], args['v2'])

keyという値がありますが、認証キーとして紹介されていて、これが文字通り今回の競技の鍵になるな~と読んでいました。

それから、前日には競技説明がありました。これの告知が無くて(サイトには確かにあるって書いてあったので私達がわるいんだけど)、うちのチームはみんなして競技説明をすっぽかしました。競技説明があとからでも見られて助かりました。

当日

テスト前というのに学校に出ていって、開会式を待ちました。開会式では、ちょっとヒントっぽい話(実際に問題を解くときに活躍することはなかった)があったり、問題が予定より大幅に減った(ジャンルが6 -> 3になって、「環境設定」や「暗号通信」がなくなった)ことを告知されました。

 さらに、今回の問題形式が 問題文なし であることや、他チーム、スコアサーバへの攻撃の禁止を言い渡されました。

競技形式

 ようするにA&DのDみたいなもんですが(Hardeningとかもこんな感じなんだろうか)

 各チームは、自らに割り当てられたサーバの「脆弱性を修正」します。5分に1度チェックスクリプトが走って(こういうの何ていうんだっけ)、脆弱性の修正が確認されたら得点が入ります。得点は脆弱性ごとに100, 200, 300の点数がつけられており、点数を得られるのは一度だけです(継続していたら点数が増えるとかはない)。

 脆弱性にはジャンルが設けられており、 「安全でないWebインタフェース」「不十分な認証/認可/バックドア」「危険なネットワークサービス」のそれぞれに100, 200, 300点問題が1つずつありました。合計1800点です。

競技

とりあえずssh接続をしました。ホームディレクトリには、私らのユーザ名である、scuserが所有者となった iotcar.py だけが置かれていました。

iotcar.pyの修正

iotcarを操作するpacketが運営から飛んできそうだなーとおもっててそれを捕まえないことには……と思ってたので、iotcarを実行しようとしました。 python iotcar.py な感じです。するとpythonシンタックスエラーを吐いたので修正をはじめました。このときに、 debug option とかいうヤバそうな文字列を見かけたので、関連箇所を全部コメントアウトしておきました。

iotcar.pyが修正される

参加者から質問が飛んで、修正版 iotcar.py が配布されました(ここで参加者が質問できる雰囲気良い)。私の努力は無に帰して、 pyhon iotcar.py が正常に起動することを確認した後は、 nohup python iotcar.py & しておきました。

 そして、このまましばらく待つことにしました。ちょっと暇だったので netstat -antu とかしました。ここで telnetftp が生きてることがわかりました。 thrustがこのあたりの処理を買って出てくれたので任せました。

backdoorユーザを発見する

kyuminaの画面を見たのか何だったか、 backdoor とかいうユーザが存在することを知りました。(((報告しろよ)))と思いながら、 /home/backdoor を訪問すると、READMEとかいうふぁいると、 PASSWORD_is_backdoor みたいなファイルがありました。

とりあえず README を読むと 「このユーザは開発用です」 みたいなことが書いてありました。そんなわけがあるかいと思い、とりあえずこのユーザを無効化することにしました。 telnet localhost して backdoorにbackdoorで入ると入れたので、 passwd して パスワードを _backdoor_ にかえておきました。これで何かしらの点数が入ったはずです。

Webインタフェースを見る

thrustがapacheが動いてるらしいことを教えてくれて、みたら「デフォルトのページ」「ファイラでphpinfo吐いてて、/etc/passwd吐いてるファイルであるところのindex_old.php」「adminディレクトリ(認証がかかってる)」などがありました。これらは全部www-dataの持ち物で、エディット出来ませんでした。

とりあえず認証が突破できる気がすると思ったので .htpasswd を落としてきて、ローカルの環境で john .htpasswd したら一瞬で adminのパスワードが password であることがわかりました。このあたりはインターネットにつながってる機器のデフォルトだったりしてIoT感があると思いました。

 そういうことでadminとして入ると、「IoTカーのWebコントローラ」みたいなのがありました。「status」「update」「date」「manual」くらいの項目があり、statusは/etc/iotcar以下のファイルを読んで、IoTカーの状態を表示してくれる部分のようでしたが、/etc/iotcar以下には未だ何もなかったので(kyuminaがiotcar.pyまわりをやってくれてたけどなにもわからなかった)、意味なし太郎でした。

updateはなんかヤバそうで、ファイルのuploadフォームがありました。まずこれのソースコードを読むと(読む権限はあった)、「ファイルがアップロードされたらfilesディレクトリに移して、unzipして、出てきたディレクトリに移動し、sh command.sh する」ようなphpがありました。

「あっこれ使える」と思い、 /var/www/html/.htpasswdを .htpasswd_に書き換え、新しい.htpasswdをつくるようなシェルスクリプトを書いて、command.shとして保存し、適当なディレクトリに埋めてzip圧縮したものをuploadしました。

 すると、サーバがInternal ServerErrorを吐きました。みると、 /var/www/htmlに.htpasswdMがありました。Windows環境でつくったシェルスクリプトだったので、改行コードの\rがファイル名として認識されたらしく、ふえぇでした。

.htpasswdMをなんとかしようとしたのですが、頼みの綱のWebインタフェースは500だし、.htpasswd自体への書き込み権限はないしで、積んだと思い、「環境のリセット」をお願いしました。

 環境のリセットは運営が用意した救済策で「どうしても積んだと思ったら申告してください。15分程度で環境をリセットします」ときいていました。

 ここから大変な時間が始まります……

2時間待つ

 15分まつ、とのことでしたが、30分待っても環境は復活せず、ちょっとはやいお昼を食べたり、Twitterをしたりしていました。その間にも、他のチームが続々とリセット申告を行いました。運営が「ちょっと、Azureのフォームが重たいので、時間かかってます」ということには、私たちはガルパン鑑賞会を始めていました。

 結局、2時間まちました。ガルパンでは、大学選抜チームとの試合が始まっていました。

再開

 競技時間がのこり2時間を切った頃に、やっと復旧して、競技を再開しました。他のチームも結構待たされてて、運営も「root権限でどうにかなりそうな事態ならリセットではなくその旨を申告してみてください」というアナウンスをしていました。

 私はもっかいおんなじことをしてInternal Server Errorを吐かせ、「/var/www/html以下をリセットしてください!」とお願いしました。「結構豪快に壊してるね」っていわれたけどそんなことは無いはずです。

 今度は改行コードをちゃんと修正して、adminのパスワードをpasswordからadminpasswordに変えました。多分これでも点が入ったと思います。

date.php

date.phpは「システムの時刻を設定できます」とのことでしたがよくわからなかったのでソースコードを覗きました。すると「POSTにshというパラメータがあったら、 system('date +s "' . $_POST['sh'] . '"')する」という雰囲気のコードが有り、やばそうでした。

とりあえず、これを用いて、 index_old.phpをindex_hoge.phpにしたり(入力に "; mv /var/www/html/index_old.php /var/www/html/index_hoge.php; echo "OK などをあたえる)、date.phpをhogedate.phpにしたりしていましたが、このあたりでは点が入らないようでした。

thrustのお手伝い

thrustくんが、「ftpでログインしたさきに、you_must_delete_thisみたいなファイルがある」ということを教えてくれて、それがdeleteされていなかったので、どうしたもんかなと思っていましたが、そういえばと思い ftp localhost して anonymous ユーザでパスワードなしでログインすると案の定入れたので、 delete それ しました。多分これでも点数がはいったはず。

その後行き詰まって

admin ディレクトリを hoge に変えたり、やばいphpを軒並み名前変更したりしていましたが、得点が入りませんでした。ちゃんと脆弱性に対応してるのになぁ。

  index.htmlがデフォルトのままでいろんなパスとかバレてるのが良くないのかな、とか、Options Indexesが良くないのか、とおもい修正もしてみましたが一向に点は入らず……。

おわり

 時間いっぱいおしまいになりました。insecureは900点で 3位でした。1位は 1700点のSIGSEGVで、 2位は 1200点の Harekazeでした。序盤に600点くらいとったあと、300点しか取れなくて、サイバー甲子園でもこんな感じだったぞと思いました。

そのころ他のメンバーは

kyuminaがiotcarまわりの解析をしてくれていました。 iotcar.pyにスコアサーバからは何も飛んでこないということが2時間の休憩中に解っており、↑のスクリプトとかでパケットを投げてあげていましたが、う~んな感じでした。

mi_24vは何をしてたんでしょう、よく憶えてないです。

thrustがずっとtelnetの無効化に挑戦していて、ちゃんとできていました(が、これでも得点は入ってなかったです。よくわからん)。

終わって

 SIGSEGVがなんであんなに点取れてん、という話になって「開始30分でrootがとれたので」と言われて「!?!?!?!?!」となりました。さらに話を聞くと、「$HOMEに root所有者のsticky bitsetuid bitありのiotcarが存在して、こいつは、 0777 root所有の iotcar.py を実行してるだけだから iotcar.pyに/etc/sudoersを編集するコード書けばok」とのことでした。

 このへんから話の雲行きが怪しくなって、というのも「あーなるほど」というチームと「私らのチームそんなiotcarとか言うファイル無いんですけど」というチームが現れました(私らは後者です)。

 運営からの説明がなかなかなく、Slackは紛糾しました。しばらくしてから運営から「状況を調査します」という連絡が入りまして、現在も調査中です。どうなることやら……

→ 12/5 に連絡があり、やっぱり環境がちがうケースが存在しました。どうやら二種類の環境があり、両環境の一位のチームが、SECCON Onlineで雌雄を決せよとのことです。まあ納得。急に予定を入れられて困惑してる人もいるかもなあとは思うけど、こんな場合の対応としては上々なのでは。f:id:Furutsuki:20161206121411p:plain

感想とか思ったこととか

まず! 高専でセキュリティコンテストを開こうと思ってくれて、開いてくれてありがとうございました!! 楽しい催しになっていたと思います。運営も真摯に対応してくれていることがわかってよかったです。

ただ……

問題減ったの怪しくないですか

減っちゃって悲しいです。準備遅かったのでは……。それでは前日に徹夜レポートする高専生と一緒ですよ(言い過ぎてたらごめんなさい

テスト期間はやめてくれ

せっかくのコンテストなのに、テスト前で、高知高専に出向くことができず辛いです。一人で行く分にはいいんですけど、「担当教員」とかいろいろあるので……。しかも、テスト前なのはうちの学校だけじゃない。時期をもっと考えてくれても良いと思います。

問題文なし はやっぱりちょっと無理があるのでは

というのも何を持って「脆弱性対応とするのか」とか「iotcarは何のために存在するのか」とか「最低限必要なインタフェースは何か」がわからない。自分の置かれているシチュエーションがわからないんです。完全に自由なら、Webインタフェースも止めて、iotcarも何もしないで、パスワード変えて……みたいな感じにしちゃいたいですけど……。

backdoorユーザにしても「なんやねんこれ」みたいな感じでしたし。最低限「あなたは~~という立場で、~~ということをしないとだめです」くらいは教えてくれないと、ちょっとやりようが無いです。

環境が違うのは……

これは不測の事態と思うので、しゃーないというところはあるでしょうが、競技にならなくなってしまうので、気をつけてもらいたいです


ぐだぐだ書きましたがそんな感じです。この催しで知り合えた高専生とはこれからも仲良くやりたいですし、来年も仲良く腕を競いたいです。

ことしは、とりあえず、Slackで私を煽ってきたチームに負けなかったので良しとします。

あのね、お疲れ様でした。