はてなブックマーク

防衛省主催のCTF。今年で3回目。パスポートの写真を送ったりしての申込みが事前に必要なので、来年開催されたら参加しようと思っている人は注意。 残り3問が解けなくて、13位。 実践的というか、Kali Linuxを使って解くような問題が多かった。その辺あんまり分からん……。 ポイントを払うとヒントが買える方式で、後半はポンポン開けていた。「いや、それは分かっているから……」ということが多かった。素直に最初から買っていったけど、今自分がどの辺で詰まっているかを考えて、最後のほうから開いたりするべきだったかもしれない。 追記。 前のヒントを飛ばして次のヒントを開くことはできなかったらしい。 なお、ヒントは各問題の上から順番にのみ表示できました。「最初の方は攻略できているので最後の方のヒントだけ知りたい」と思っても、下のヒントだけを表示することはできませんでした。 ヒントを買った分のポイント減少が

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 競技プログラマ、OK好きそうだと思ってるので解いてください — 日​暮唯愛🌇 (@keymoon_) March 20, 2022 「OK」というのは、zer0pts CTF 2022で出題されたCrypto（暗号）の問題。 この問題に限らず、競技プログラミングに取り組んでいる人はCTFが楽しめると思っている。特にcryptoジャンル。ということで、普段は端折っている細かい説明を加えながら、この問題のwriteup（解説）を書いてみる。あくまで1個のジャンルの1個の問題の解説なので、この記事だけでCTFを戦うのは無理だと思うけれど、き

答え NTFSの$MFTのレコード数4,294,967,040（232-256）個が上限だと思われる。ファイルもフォルダもNTFSが内部で使用するファイルやフォルダも1レコードを使う。断片化が激しい場合などに1ファイルやフォルダが複数のレコードを使用することもある。 詳細 気になってググってみたら、Wikipediaが出てきた。 日本語版。要出典。 英語版はちゃんと出典が書いてあって偉い。 出典はMicrosoftのドキュメント。232は232だろう。 Microsoftが言っているなら正しそうだけれど、気になることもある。 いちいち既存のファイルを数えていたら遅くなるが、NTFSにファイル数を保持しておく機能なんてあったっけ？ なぜファイルだけがカウント対象？　フォルダは？ 上限が低すぎないか？ 小さなファイルならばディスクの使用量は1 KiB。小さなファイルをだけを作っていると、8 T

業務に関係のないところがむしろ楽しいという考えもある。保守性とか他人が読みやすいとかそういうことは一切気にせずにコードを書き殴れる。サーバー側でのチェックさえ通れば、もう読み返すこともない。業務ならテストは通ったが実可動で大丈夫だろうかと不安になることもあるけれど、競技プログラミングならばたとえバグっていてもチェックが通ったなら勝ちである。白黒はっきり。 Tips 普段プログラムを書いているけれど、AtCoderのコンテストに出たことがない人向け。 ググって良い 普段のコンテストで「2人以上で結託し、解答する行為」は禁止されているので、チャットで他人に相談したりするのはNG。でも、コンテスト中のインターネットの使用は禁止されていない。アルゴリズム実技検定でも多分同様でしょう。 オンライン整数列大辞典（OEIS）というサイトがあって、数列で検索ができる。数列の計算式も出てくる。たまにこれで検

$ ./one just one MENU ================ 1. Add 2. Show 3. Delete 0. Exit ================ > 1 Input memo > hogehoge Done. MENU ================ 1. Add 2. Show 3. Delete 0. Exit ================ > 2 hogehoge Done. MENU ================ 1. Add 2. Show 3. Delete 0. Exit ================ > 3 Done. MENU ================ 1. Add 2. Show 3. Delete 0. Exit ================ > 0 Bye! Addで確保されるサイズは0x40バイト固定 Sh

本日（2018年6月2日）、競技プログラミングコンテストcodeFlyerが開催される。仮想通貨取引所を運営するbitFlyerの主催なので、きっと、使用可能な言語はBitcoinの取引に使用されているスクリプトだけだろう。ということで練習をした。 現在のAtCoderで使用可能な言語にBitcoinのスクリプトが無いので、Pythonのインタプリタを実装した。Input:に書かれた形式で標準入力から入力を読み取ってスタックに積み、Code:のスクリプトを実装して、Output:の形式で標準出力に書き出す。 AtCoder Beginners Selectionに挑戦した。初心者向けの簡単な問題が揃っている。 はじめてのあっとこーだー（Welcome to AtCoder） sには手を付けず、a+b+cを実行すれば良い。

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

# coding: utf-8 from Crypto.Util.number import * import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(("problem.harekaze.com", 30214)) def read(): t = "" while True: c = s.recv(1) if c=="\n": break t += c return t print read() # WELCOME print read() # to encure for _ in range(30): print read() # print read() # round ans = -1 for i in range(3): l = read() n,e,c = eval(l[l.f

00000000 50 4b 03 04 14 00 00 08 08 00 00 00 00 00 84 21 |PK.............!| 00000010 35 af 1e 43 0b 00 df 51 09 00 0a 00 00 00 73 61 |5..C...Q......sa| 00000020 6d 70 6c 65 2e 70 64 66 9d b3 5d 76 6c bb 6e 2c |mple.pdf..]vl.n,| 00000030 ed b5 eb 58 f7 6a 95 af ed 3d ef 2d df 3b 6b ae |...X.j...=.-.;k.| 00000040 b3 e7 b6 7c ee da 47 7b ce 2b 1d ed 3a b6 b4 34 |...|..G{.+..:..4| 00000050 ab ee f5 a9

SECCON 2016 オンライン予選に某チームで参加した。そこそこの順位。去年までとはうってかわって、ガチなExploit問題が多めだった。 私が解いた（or 途中まで解いた）問題の解法。 VoIP (Forensics, 100点) pcapからVoIPの音声を取り出す問題。どうするのかと思ったけど、Wiresharkで開いて、Telephony→VoIP Callsで再生までできる。 「SECCON{9001IBR} かな？　SECCON{9001IBA}かな？　どっちも通らないな……」と悩んで放置していたら、チームメイトがSECCON{9001IVR}で通していた。英語力……。 SECCON{9001IVR} Anti-Debugging (Binary, 100点) Windowsバイナリ。パスワードがI have a pen.かどうかを調べて、デバッガのチェックをして、フラグを

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 脆弱性"&'<<>\ Advent Calendar 2016 2日目の記事です。枠がたくさん空いているのでエントリーをお待ちしております。 まとめ AngularJSのテンプレートには（例えHTMLエスケープをしていても）信用できない文字列を出力してはいけない。 AngularJSとは 使ったことはないので、この節の説明は怪しい。 Google製のMVW（Model-View-Whatever（？））フレームワーク。ウェブアプリで「表示」の部分を作るのに使う。あるデータを表示するとき、例えばjQueryならば、データが変更されたときに

FPGA DE0-CVを、間違って二重に注文した人から買い取った。ちょっとプログラムを書いて、LEDを光らせたり、スイッチに反応させたりするのも楽しいけれど、それならもっと安いArduinoでもできるので、どうせならばFPGAの計算能力を活かしたい。競技プログラミングでは、すぐに思いつく解法では間に合わなくて、がんばってもっと速いアルゴリズムを考えるという流れが多い。FPGAは単純な処理の並列計算が得意なので、FPGAを使いこなせれば、簡単な解法で問題が解けて有利になるのではないかと考えた。結局、あまり役には立たなさそうだったけど、色々と試したので書いておく。 問題の選択 コンテストで使うことを考えると、そもそも書いたプログラムを手元で実行するコンテストでないといけない。Google Code Jam（GCJ）はその形式。しかも、GCJは1個の問題にsmallとlargeの2個の入力がある

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

>wget http://2014.seccon.jp/mailmagazine/backnumber08.txt --2015-12-06 18:38:56-- http://2014.seccon.jp/mailmagazine/backnumber08.txt Resolving 2014.seccon.jp (2014.seccon.jp)... 133.242.50.254 Connecting to 2014.seccon.jp (2014.seccon.jp)|133.242.50.254|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 14182 (14K) [text/plain] Saving to: 'backnumber08.txt' backnumber08.txt

LINE Bug Bounty Programに参加した。脆弱性はプログラミングに関する知識でしょう。 利用規約の第9条によって、LINEが公表するまで（場合によっては公表した後も）脆弱性を公開することは禁止されているけれど、脆弱性と認定されなかった場合は適用対象外らしい。LINEに確認した。審査不可の通知のメールは「今回の脆弱性報告対象ではありません」というそっけない感じだったけど、認定されなかった理由も教えてくれた。ありがとうございます。 ということで、認定されなかった脆弱性を紹介する。 グループチャットで誰が既読にしたかを知ることができる LINEのグループチャットでは、既読の人数のみが表示される。ユーザーは読んだのが誰かは分からないという想定で使っているはず。Aさんは誰が既読にしたか分からないという想定でLINEを使っているのに、Bさんが何らかの手段で誰が既読にしたかを知ることがで

チームkatagaitai主催の勉強会に参加した。 https://atnd.org/events/67035 bataさんのpwnablesの講義の題材がPlaid CTF 2013のropasaurusrexで、勉強会中に最も簡単な版の解き方が紹介されて、難しく改造したものを後で解いてみてくださいという感じだった。脆弱性はスタックバッファオーバーフローで、ASLRなどをどう回避するかという話。 参加する前の私「り　りろんはしってる」 1問目を解いた私「『ここに○○のアドレスを書く』とかの誘導無しでは無理だな」 5問目を解いた私「1問目、system("/bin/sh")を呼ぶだけだし、libcも書き込み可能な領域もあるし、簡単すぎﾜﾛﾀ」 1問目 system("/bin/sh")を呼び出す。問題のバイナリ中にはsystemのアドレスが無く、ASLRによってlibcのアドレスが分からな

間違えて5GBくらいのファイルを Shift + Delete してしまった Pandora Recoveryなどの復元ソフトを使えば簡単に元に戻せるだろう なぜかサイズが0KBになってしまう どうせ32bit変数を使っているとかで、自分でNTFSを読めば復元できるだろう ということで、NTFSの読み方を調べた。 結論を先に書くと、消したファイルのサイズが4GB以上の場合、4GB未満のファイルのように簡単に元に戻すことはできない（詳細は後述）。4GB以上のファイルは慎重に扱おう。 参考にしたサイト http://www.writeblocked.org/resources/ntfs_cheat_sheets.pdf https://flatcap.org/linux-ntfs/ntfs/ http://www.kes.talktalk.net/ntfs/ http://blogs.tech