speakerdeck.com 最近の便利Perl情報や好きなモジュールの話をしました。 トーク応募したときには話したかった細かい話題がいくつかあったのですが、20分では収まらなかったのもありクラスビルダやクラスローダ、バリデータ、Type::Tinyの話になりました。 トークの中で紹介した、拙作のSmart::Args::TypeTinyが結構好きで最近よく使っています。 Smart::Args::TypeTiny - We are smart, smart for you - metacpan.org 詳しい使い方やSmart::Argsと比較したときのメリットをあまり説明できなかったのですが、Smart::Args::TypeTinyについては昨年 id:papix さんが紹介している記事があります。(ありがとうございます!!!) papix.hatenablog.com 自分のトー

speakerdeck.com トークの内容はTest2の導入から便利情報を紹介したりしました。少しでもTest2使う人が増えるといいですね。 スライド中にも触れていますが、基本的にはTest2に移行するにあたってはTest2::Plugin::UTF8を使うようにすれば大丈夫かなと思います。 一部Test::ClassのハックをTest2に対応するといった特殊な例も紹介しました。スライドでは時間の都合上省いたのですが、Test::Classは意外と扱いが難しく、テストファイルから読み込まれるモジュールでTest::Moreを直接使っていると$TODOが動かなくなるというケースもありました。Test::Moreのokを直接呼んでいる場合はTest2::APIのcontextで書き換える必要があります。 また、Test::Warningsでテスト中で警告が出ていたらfailする機能(Test

株式会社はてなに入社しました 株式会社はてなに入社しました - hitode909の日記

この記事は，CTF Advent Calendar 2016の1日目です． www.adventar.org CTFプレイヤーたるもの，日々の鍛錬は欠かせません． 過去問を解いてこそ，競技中に真の実力を発揮することができるのです． ということで，bata_24さんが公開しているpwn challenges list - Pastebin.comを管理できるページを作成しました． http://ctf.katsudon.org/ctf4u/ CTF Advent Calendar 2016 - Adventar にはまだ空きがあるようなので，過去問のwriteupを書いてくれる方をお待ちしています． 全完目指して頑張りましょう．お楽しみください．

いまいちピンとくる言い方が分からないけれど，つまりはこういうこと． [ { id => 1, value => 'foo', }, { id => 2, value => 'bar', }, ] このようなデータ構造があったときに，以下のようにidをkeyとしてハッシュにしたい． { 1 => { id => 1, value => 'foo', }, 2 => { id => 2, value => 'bar', } } 割とよくあることなので，普段はmapを使ってこのように書いている． my $x = +{map { ($_->{id} => $_) } @users}; これは，List::Utilのreduceを使っても同じように書ける．引数の先頭がハッシュリファレンスになっていて，それを引き回すことで実現している． use List::Util qw/reduce/; my $x

greeting Host : pwn2.chal.ctf.westerns.tokyo Port : 16317 greeting Note: DoS攻撃に対する対策の為，出力が131072文字に制限されています． main関数のみのシンプルなバイナリ．FSBがあるが，その後すぐにreturnするため1度しか実行できないように見える．FSBによる攻擊の流れは以下の通り． stack上のreturn addressの位置をリーク 必要であればlibcのアドレスリーク(今回はsystemがpltに存在するので不要) stackを書き換えてsystem("/bin/sh")を実行 今回の場合は，.fini_arrayをmain関数のアドレスに書き換えることで再度mainを呼ぶことができるようになり，上記の攻擊が可能となる． 入力文字列をsprintfに投げてからFSBが発生するため，最初に20

チームdodododoで参加して、29109ptで優勝しました。 チーム構成はakiym, xrekkusu, lrks, hiromuの4人。分担は、攻擊班akiymとlrks、防御班xrekkusuとhiromu。 今回のSECCON Intercollegeは学生限定ということで、通常の決勝とは違う、Attack & Defenseルール。各チームにroot権限サーバが1つ与えられ、その上で3つのサービスが動かす。それぞれに脆弱性があり、それを修正しながら、相手に攻擊するといったもの。 2015.seccon.jp ルールを簡単に説明すると、5分毎に運営側からSLAのアクセスが飛んできて、動作しているサービスを経由してフラグがどこかに書き込まれる。正しく書き込まれているか確認出来なければdefense scoreが獲得できない、かつ総得点より3%の減点となる。正しくサービスを運用しつ

CTF Advent Calendar 2015 - Adventar 16日目 CTFをやると副産物として一枚岩のスクリプトができたりします。いくつか便利ツールを公開しているので、ここで紹介します。 個人的には地味に便利と思っているのですが、万人受けするようなものではなさそうです。オレ得ツールですね。 github.com exploit.py, exploit.pl pwn問題を解くとき、まずはじめにテンプレートとして手元にコピーしてきます。 pwntoolsとか便利なライブラリがあったりしますが、どの環境でも動かせるといろいろとよいことがあるので、recvuntilやinteractのような関数を実装したものを用意しています。 d socatのラッパーです。デフォルトでstraceで起動します。 d ./vuln-binary gadgets rp++のラッパーです。rp++単体だと

This is my short writeup for John's shuffle. John is completely drunk and unable to protect his poor stack.. Fortunately he can still count on his terrific shuffling skills. Connect to shuffle.polictf.it:80 This is pwnable challenge worth 350 points. The binary is NX enabled, no stack protector yey. I solved really fast and I thought this challenge is not worth 350 points ;) How to PWN the server

The Perl Jam - Exploiting a 20 Year-old Vulnerability より Perlを普段から書いている人にとっては常識ではあるが、そうではない人のために書いておく。 リストと配列 Perlにおける「リスト」とは何かというのを確認しておく。まず、Perlにはコンテキストという他のプログラミング言語にはない概念があり、単数(スカラー)と複数(リスト)を区別する。 # 配列 my @a = ('a', 'b', 'c'); # リストコンテキスト # 配列をリストコンテキストで評価 print @a; #=> abc # リストをリストコンテキストで評価 print ('a', 'b', 'c'); #=> abc # スカラーコンテキスト # 配列の要素はスカラー print $a[0]; #=> a # 配列をスカラーコンテキストで評価 print s

チームdodododoで参加。最近はよく自分(@akiym)とれっくす(@xrekkusu)の2人で参加している。 結果は7位。finalsの参加権が貰えるらしいが、会場はスペインでおそらく交通費はでないので破棄ということに。問題は開始時にすべてオープンされる形になっており、全部で10問。朝7:00から始め、途中で寝て、3:40に全完。miscとwebに足を引っぱられた。 以下は問題の解説。 inBINcible golangが吐くバイナリ。strippedされていないため、読むのはそこまで苦ではない。 まず、argv[1]が16文字であるか調べる。次に16個のgoroutine(main.func.001を参照)を生成してそれぞれ1文字ずつ比較して、その結果channelに出力している。すべての結果が正しければ正解になり"Yeah!"、間違っていれば"Nope!"。 0x08049456

loginpage1 (web 10) running at ctf.katsudon.org:5002 #!/usr/bin/env perl use Mojolicious::Lite; app->secrets([$ENV{FLAG}]); get '/' => sub { my $self = shift; return $self->render('index', user => $self->session->{user}, flag => $ENV{FLAG}, ); }; get '/user' => sub { my $self = shift; my @users; if (open my $fh, '<', "user.txt") { while (defined(my $user = <$fh>)) { my ($name, $password, $is_admin

SECCON 2014 オンライン予選(日本語)にdodododoとして参加した。2302点で5位。とりあえず全国大会の出場権は獲得できた(上位8位まで)。 チームメンバーによるwriteup: http://xrekkusu.hatenablog.jp/entry/2014/07/19/220129 以下、自分が解いた問題のwriteup: ネットワーク ソーシャルハック？ 画像と思われるURL(http://example.com/foo.png)を投げるとアクセスしてくれる。 153.120.82.112 - - [19/Jul/2014:12:07:30 +0900] "HEAD /foo.png HTTP/1.1" 404 0 "-" "MyVNCpasswordIsVNCpass123" "153.120.82.124"VNCで接続する。 FLAG{giveMeYourWebM

blacklist (web 10) running at ctf.katsudon.org:5001 use Mojolicious::Lite; use DBI; # enjoy~ my $BLACKLIST_CHAR = qr/['"`=]/; my $BLACKLIST_WORD = qr/select|insert|update|from|where|order|union|information_schema/; my $dbh = DBI->connect('dbi:mysql:blacklist', 'blacklist', $ENV{BLACKLIST_PASSWORD}); helper dbh => sub { $dbh }; get '/' => sub { my $self = shift; my $ip = $self->tx->remote_address;

ゲームを作ろうと思い立ったはいいものの、何から始めればいいんだろう…。cocos2d-xでスマホゲームを作る？Unityで3Dバリバリのゲームを作る？いまいちパッとしませんね。そうです、なんだか複雑すぎるのです。 そんなあなたにピッタリなのがファミコンのゲームです。もう30年前のハードですから、きっと単純ですって。たぶん。だって8ビットですよ。 環境構築 今回はOS Xで開発をすることにします。まずはアセンブラ、コンパイラを準備します。 アセンブラはnesasmを使います。オブログ — なあ藤村くんファミコンプログラミングをやろうじゃないか[1]を参考にmakeしてください。 コンパイラはcc65を使います。なぜコンパイラも準備するかというと、まだできる限りアセンブラを書きたくないからです。簡単なほうがいいですよね :) % brew install cc65 とりあえず動くものを書いてみ

10guess (crypto 10) running at ctf.katsudon.org:5555 package main import ( "bufio" cr "crypto/rand" "crypto/rsa" "fmt" "log" "math/big" "math/rand" "net" "strconv" ) var seed int64 = ????? func handleConnection(conn net.Conn) { log.Printf("connect: %s", conn.RemoteAddr()) defer func() { log.Printf("close: %s", conn.RemoteAddr()) conn.Close() }() priv, err := rsa.GenerateKey(cr.Reader, 2048) if err

チームdodododoで参加してきました。メンバーは@akiym, @lmt_swallow, @goldcard, @ayako119の4人です。 僕は全く解けなかったのですが、@goldcardさんのおかげで優勝できました。ありがとうございます。 チームメンバーによるwriteup http://blog.5v-gnd.net/archives/1053 SECCON 札幌大会に参加してきました！ QRコード問題のwrite-up - 見習いの見習いプログラマ SECCON 2013 北海道大会に参加しました / writeup - MY FEEEEL 出身地チャート (エラーコードを探せ!) アンケートのようなウェブアプリ。しかし、これはダミーだろうと見た。エラーコードというのは、HTTPのステータスコードのことだと思う。 403 .htaccessや.htpasswordにアクセス