クイズ1

$ nm main.o  # int main() {}
0000000000000000 T main
$ nm foo.a   # void foo() { bar(); } void baz() {}

foo.o:
                 U bar
0000000000000010 T baz
0000000000000000 T foo
$ nm bar.a   # void bar() {} void baz() {}

bar.o:
0000000000000000 T bar
0000000000000006 T baz
$ gcc main.o foo.a bar.a

最後のコマンドで、何が起きますか？

• 普通にリンクできる
• undefined reference to `foo'
• undefined reference to `bar'
• multiple definition of `baz'

クイズ2

$ nm main.o  # int main() { foo(); }
                 U foo
0000000000000000 T main
$ gcc main.o foo.a bar.a

クイズ1との違いは main.o だけです。最後のコマンドで、何が起きますか？

• 普通にリンクできる
• undefined reference to `foo'
• undefined reference to `bar'
• multiple definition of `baz'

クイズ3

$ nm main.o  # int main() { bar(); }
                 U bar
0000000000000000 T main
$ gcc main.o foo.a bar.a

クイズ1,2との違いは main.o だけです。最後のコマンドで、何が起きますか？

• 普通にリンクできる
• undefined reference to `foo'
• undefined reference to `bar'
• multiple definition of `baz'

クイズ4

$ nm main.o  # int main() { bar(); }
                 U bar
0000000000000000 T main
$ nm foo.a   # void foo() { bar(); }

foo.o:
                 U bar
0000000000000000 T foo
$ nm bar.a   # void bar() { foo(); }

bar.o:
0000000000000000 T bar
                 U foo
$ gcc main.o foo.a bar.a

最後のコマンドで、何が起きますか？

• 普通にリンクできる
• undefined reference to `foo'
• undefined reference to `bar'
• multiple definition of `baz'

クイズ5

$ nm main.o  # int main() { foo(); }
                 U foo
0000000000000000 T main
$ gcc main.o foo.a bar.a

クイズ4との違いは main.o だけです。最後のコマンドで、何が起きますか？

• 普通にリンクできる
• undefined reference to `foo'
• undefined reference to `bar'
• multiple definition of `baz'

クイズ6-10 (飽きたので雑な出題)

クイズ1-5のそれぞれのケースについて、

$ gcc main.o foo.o bar.o

として foo.a と bar.a のかわりに foo.o と bar.o をリンクした場合、何が起きますか？

おまけ

クイズ1-5について、

$ gcc foo.a main.o bar.a

や

$ gcc foo.a bar.a main.o

にした場合、いろいろ挙動が変わりますが、なぜでしょう。 1-10 に正解できる人はこれも正解できると思われるのであまりクイズにする意味は無い感じなので、おまけです。

解答

リンカの .a や .o に対しての挙動について知っていれば、ラクに全問正解できると思います。全問正解できなければ、いくつあってても、あまり大差無くわかってない、という感があります。

正解は…

• クイズ1: 普通にリンクできる
• クイズ2: multiple definition of `baz'
• クイズ3: 普通にリンクできる
• クイズ4: undefined reference to `foo'
• クイズ5: 普通にリンクできる
• クイズ6: multiple definition of `baz'
• クイズ7: multiple definition of `baz'
• クイズ8: multiple definition of `baz'
• クイズ9: 普通にリンクできる
• クイズ10: 普通にリンクできる

です。いやー何故か偉そうな文体で書いてるから、こういうの間違ってると恥ずかしいから確認した…

説明

まず、リンカのコマンドラインは基本的に左から右に眺めていきます。 .o ファイルがあると、その中にある全てのシンボルをリンクします。クイズ6-8はこの理由で単に baz が2回出現してしまっていて、クイズ9-10は循環参照があるけど両方ちゃんと定義してあるから大丈夫、ということになります。

.a は知らない人にはやや意外性のある挙動を示します。 .o を眺める時、未定義だったシンボルの一覧をリンカは覚えています。 .a に出くわすと、その中の各 .o を眺めてみて、未定義だったシンボルの入ってる .o を全てリンクします。この際、 .o についでに入っている、使用されてないシンボルなんかもリンクされます。

クイズ1では、 main.o を見て未定義シンボルが無いので、 foo.a と bar.a からは何もリンクされず、 main だけのバイナリができます。

クイズ2では、 main.o を見て foo が未定義なので、 foo.o をリンクします。すると bar が未定義なので、 bar.o もリンクします。そして baz が多重定義になります。

クイズ3では、 main.o を見て bar が未定義なので、 bar.o をリンクします。 foo.a はスルーされるので、 main, bar, baz が定義されたバイナリになります。

クイズ4,5 は循環参照です。 4 の方は main.o と bar.o だけを取ってきてしまって foo が未定義となり、 5 では main.o => foo.o => bar.o と芋蔓式に取ってくる必要ができて、無事リンクできます。

循環参照を解決する技

普通、クイズ1-3のようなケースで悩むことはあまり多くはなくて、4-5のような循環参照で悩むことが多いのではないかと思います。これを解決する方法はいくつかあります。クイズ4のケースを例に使います。

$ nm main.o  # int main() { bar(); }
                 U bar
0000000000000000 T main
$ nm foo.a   # void foo() { bar(); }

foo.o:
                 U bar
0000000000000000 T foo
$ nm bar.a   # void bar() { foo(); }

bar.o:
0000000000000000 T bar
                 U foo
$ gcc main.o foo.a bar.a
bar.a(bar.o): In function `bar':
bar.c:(.text+0xa): undefined reference to `foo'
collect2: error: ld returned 1 exit status

$ gcc main.o foo.a bar.a foo.a

$ gcc main.o -Wl,-ufoo foo.a bar.a

$ gcc main.o -Wl,--start-group foo.a bar.a -Wl,--end-group

$ gcc main.o -Wl,--whole-archive foo.a bar.a -Wl,--no-whole-archive

$ gcc foo.a -shared -o foo.so
$ nm -D foo.so
                 w _ITM_deregisterTMCloneTable
                 w _ITM_registerTMCloneTable
                 w _Jv_RegisterClasses
0000000000200830 B __bss_start
                 w __cxa_finalize
                 w __gmon_start__
0000000000200830 D _edata
0000000000200838 B _end
00000000000005e8 T _fini
00000000000004a8 T _init

$ gcc -Wl,--whole-archive foo.a -Wl,--no-whole-archive -shared -o foo.so
$ nm -D foo.so | grep foo
0000000000000685 T foo

shared object

はまぁ割とみんなが想像するような挙動をするというか、リンカの段階では難しくなくて、ローダの側でやや難しい感じですね。

libc.a

libc.a に入ってる .o が、1関数につきひとつあるみたいな状態なのは、 static link した時のバイナリサイズを最小にするため、というようなことが予想できますね…

saturn (Exploitation 400)

ほどほどに難しそうなやつ、てことで400。もう内容覚えてないけど3つくらいコマンドがあって、1つ目のコマンドで得た情報を2つ目にわたすと良いとかそんなだっけ。超簡単で、なんだこのコンテストレベル低いて聞いてたけど低すぎないか…と思ってたが、後になって思うとほどほどに難しかった。むしろ例年よりは難化していたらしい。

trivia 10 一問を他の人が解いた直後がこれということで、簡単さがしのばれます。というか他の人が起きてくるころには解けてたと思う…

pybabbies (Exploitation 200)

これは他の人がやると良さそうな問題だなーと思ってたら、まさに向いてそうな @phoenixstarhiro が起きてきたので、やってみたら、と勧めてみたらサックリと解いておでかけしに行った。かっこいい。

s3 (Exploitation 300)

ish も見てたのだけど、どうも s3 の方が簡単な気がしてきたのでこっちにシフト。 key value store を CUI で操作する。

あまり理屈はわかってないけど、作ったキーを更新してから表示すると、何故か最初に渡した文字列におもむろに call してくれるという問題だった。やることは簡単だけど、コードがでかくて読むのがめんどくさかったなあと思った。

やること簡単と言いつつ、 x86-64 の shellcode を書くのに少しだけ時間がかかっていかんなと思った。 syscall のかわりに int 0x80 と書いたりとね…

dumpster diving (Forensics 100)

起きてきた @mayahjp が Firefox のコアがーとか言ってる。コアか少し面白そうだな解くのは任せるにしても、問題の雰囲気見てみるかと objdump -s してみる…と flag{...} があって解けてしまった。 "FLAG_" を探していたらしい…

Obscurity (Forensics 200)

@mayahjp がマウスドラッグしたらフラグあった楽勝とか言ってた。おいこれなんで 200 なんだと思った。

why not sftp? (Forensics 200)

@mayahjp が wireshark の使いかたを理解して瞬殺した。おいこれなんで略。

bo (Exploitation 100)

これも strings で瞬殺されてた。実行する必要すら無いてすごい。

Big Data (Networking 100)

@mayahjp が wireshark ながめてログの文字つないでいけば良いと気付いたぽい。今思うとこの人エスパー力問われる問題の悪口言いながらエスパー力問題ばっか解いてるな、ツンデレかな…

eggshells (Reverse Engineering 100)

fork bomb が入ってるので、二人くらいのマシンが破壊される。誰だったかが utils.pyc を strings して終了。 strings で 3 問解けるとか…

psifer school (Cryptography 200)

明らかに簡単な問題が解かれ終わって、 free lunch is over なムードになったころ、少しずつ進めていた omoikane さんが解く。暗号 3 つ詰め合わせって感じ？

ish (Exploitation 300)

ish わからないな、スタックの一部を表示させることはできるんだけど、どうやってもスタックずれないような？と思ってた。少し寝て起きたあと、いややっぱ明らかにスタックの一部を表示させることができるんだから、どっかずらせる場所あるだろうと思ったら意味不明に alloca ぽいことしてる場所があったので、適当にずらせると判明。

わかってからも適切な調整が結構大変だった。まぁ良い問題だったのかなと思うんだけど、コードやけに大きいなぁというのと、 shell 実行したいな…と思うのとで不満気味であった。

csaw2013reversing2.exe (Reverse Engineering 200)

おにゅーのマシンを買ってきたとか言ってた @ttuusskk が別におにゅーじゃない Windows で windbg で step 実行しながらメモリ見てたらあったとか言って解いた。

wololo (Exploitation 400)

地道に iOS 用ぽい ARM コードを gas に喰わせられるように変換できるスクリプトを書いて、あとは実行しながらデータベースを調整していったら解けた。変換なんてしなくても読めばわかる気もするんだけど、動いてるものが無いものを考えるの苦手なんだよな。よく考えるとコード読みとかも gdb 使ってやるとか結構多い。

Julian Cohen (Recon 100)

@mayahjp が起きたらヒントが出てたとかで、アカウント作って解いた。

aerosol can (Reverse Engineering 500)

この問題は大変だけどやるだけの問題に見えて、そのやるだけ度が簡単そうなら解いちゃおう、と僕も見てたのだけど、その大変度合いがすさまじそうだったので、早い段階で放棄した。そしたら @phoenixstarhiro が根性で解いた。正直時間内に解けないかもな、と思ってたので、やはりこの人の根性はすごいなと思った。

greenhornd (Exploitation 400)

いやーしんどかった。バグの位置は教えてくれてるので、ちょっとしたチェックを理解すれば、あとはちょっと ROP してメモリ確保してから shellcode を渡すだけなんだけど、なんせ Windows なんだ…

例のごとく exe を linux のメモリ空間に mmap して実行したいとこだけ実行できるようにしながら、任意コード実行できるようにした。

shellcode は shell-storm で適当に拾ってきた cmd.exe 動かすやつだとうまく使えなくて、まぁ AppJailLauncher てのがシステムコールをいくつかつぶしていて、問題に書いてある通り ReadFile WriteFile だけで解けて趣旨なのかな、と理解した。しかしそんなことはなくて cmd.exe 動かせたらしい…

さてこれのためのコードを書くのはすごく大変だった。とりあえず kernel32.dll 内の関数の位置が EC2 で借りた Windows 2012 Server と同じ CreateFile なら動くよ、ってのを書いてみたが、本番環境では動かない。うーんまあ Windows 8 って言ってるから違うんだろうなぁと。 @ttuusskk が Windows 8 あるとのことで kernel32.dll をくれたのはいいが、どう見てもこれは 64bit バイナリでござる。

まぁ勉強もかねて Export Table 読むコード書くか、と書いた。ただ疲れていたので、無駄に時間がかかった。あと昔同じようなコード書いた記憶があるね…

そんでそれをアセンブリに手で変換。めんどくさいめんどくさい。。できた！と思うも動かない。まぁ Windows のバージョン依存はなくなっているので、自分の Windows 7 マシンで試してみると、たしかにクラッシュしている。

最初は shellcode 実行開始時点で ebp が腐っているという、自分の凡ミスだったんだけど、あとは gas の謎のバグとたたかっていた。なんでクラッシュするのーと windbg で step 実行していくとなぜか call が少しズレる。実際コード見てみるとズレてるので、なんか gas のバグだったんだと思う。 label のまわりに nop を入れまくって回避。 linux 上で windows バイナリ作って、それを windows にコピーして windbg 、ていうイテレーションがめんどくさくてめんどくさくて…

とまあ解けたけど気力が燃えつきた。

xorcise (Exploitation 500)

@tzik_tack が地道にがんばっていた。進捗を聞くと、 return address が書きかえられて、その下の stack に好きなデータを 128 byte だか書けるようになった、とか言っている。えっそれもうおわってるんじゃ…と思ってハラハラしてたんだけど、 greenhornd 終わって燃えつきかけだったので、進捗を共有してた docs を見てみる。

これはすごいなーと感心する。ループの中でループ変数が変わってて、これは大変だ、と思う。しかし感心するけど、ここまで行ったら、んーやはりこの問題終わってるように見えるよ…と手元で同じのを再現してみて、僕が pass 取れるコードを作ると同時くらいに @tzik_tack も終了。

あとはなんか簡単な手続きで flag をもらえたぽい。

hashes (Web 300)

何人かが頑張っていた。主に @mayahjp と @ttuusskk かな。 @mayahjp が jQuery が古いとか言うので、 jQuery の脆弱性を僕がぐぐってみたところ、トップに CVE 。見てみると location.hash て書いてある。これじゃね、と言ったら @mayahjp がすごい勢いで色々やって flag をもぎとっていた。

weissman (Reverse Engineering 300)

aerosol can で燃えつきてないのがすごい @phoenixstarhiro が、地道にフォーマットを解釈していって、読みにくい jpg を復元して解いた。いやー感心した。

Fluffy No More (Forensics 300)

これも主に @mayahjp と @ttuusskk が色々探してた。諦めて @mayahjp が寝たあとで、少し僕も見てみるかとファイルを展開とかしてみる。多い！こんなもん見る気起きない、とあきらめる。しかし彼らの残した記録を読んでみると、なにやら不審な pdf の URL がある。

ファイル一つなら読む気力残ってるな、と pdf に決め打ってながめる。そういえば steganography 的なの見てないな、と画像を取り出したくなった。でもよく知ってる画像のヘッダは中に無いぽい。 dff-gui とかいうファイル解析ツールにかけてみる…が、 pdf はサポートされてないぽい気がした。

うーんどういうふうに画像入ってるのかな、と中身を lv でながめてると、どうも圧縮されてるらしい記述がある。そして圧縮されててすごくサイズが小さいところとかもある。これ flag 隠しそうな場所じゃね、と思う。

deflate を自分で展開するのがめんどくさかったので、適当にぐぐって調べてみる。ねむくて珍妙なコマンドラインインターフェイスの理解に時間がかかったけど、展開できた。あとは lv でふたたびながめてると \xXX\xXX と続く不審な文字列。ちょっと見るとこれ ASCII の範囲じゃん、と irb に入れたら flag ゲット。まぁ pdf 取るところまでをやったのがえらいと思う…

cfbsum (Cryptography 300) 解けなかった

@kinaba が最初の方考えてたけどわからないまま歩きに行ってしまったので、少しだけ遊んでみたりした。最初よくわからんなーという感じだったんだけど、 CFB でぐぐると、ああこういうのがあるのかと勉強になった。 initialization vector を guess するのかな、と思って、実際それがあってたぽい？ので、早い段階で CFB というのを理解してやってみていれば…と少し悔やまれる。

Feal (Cryptography 300) 解けなかった

omoikane さんががんばってたけど解けなかったようだった。この手のやつ解けた試しがないから write-up 読もうと思う…

Recon * 2

左はよくわからない。右は dota2 ならゲームっ子として解かねば！と思って色々探したけどわからなかった。

まとめ

チームでやると負担がかなり少ないなあと感じた。一人でやると、バイナリ読みたいけど、みんなが解いてるアレをやってみた方がいいかな…とか気が散るんだよね。というかチームでプログラミングコンテストに参加したのってはじめてな気がしますね…