TSG CTF 2024、及び、SQLite of Hand, H*, Cached File Viewerについて

改めて、TSG CTF 2024へのご参加ありがとうございました。writeupとは別に、作問した問題について所感を(日本語でカジュアルに)メモ書きしておこうと思います。

僕が関係した問題のwriteupは、こちらにまとめてあります

github.com

結局作問をしてしまった

昨年でTSG CTFでの作問は最後にしようと思っていました。 *1

実際もうTSGにいる時間も長くないと思っているので、適切な移行は行われるべきでそれが去年のCTFという認識だったので。 加えて、D論提出締切が12月の頭にあることなどを念頭に置くと、そちらに集中したい気持ちがありました。

実際僕が作問しなくても(ちょっと人手が足りていなかったかもしれないですが)CTFとしては何も問題なかったと思います。 なので、余計なお世話をしたという部分があります。 ただ、今年のTSG CTFの優勝チームは、SEC CON CTF International Finalsにqualifyされる特典付きということがあって、"強い"チームが適切に勝てるCTFが望まれるという状況があり *2、1週間前のタイミングでの作問状況などを総合的に勘案すると、それなりに難しい問題を複数追加するとともに、pwn筋が必要な問題を複数(結果作れたpwnは1問でしたが...)作っておく方が人類が幸福になると思ったので、作問することにしました。結局こういう差し出がましいことをしてしまうので、僕は早くサークルを去ったほうがいい

結局およそ1週間ほどは全てを完全に無視して作問していたので、人生サイドにも若干の支障が出ていて、まずい

SQLite of Hand (w/ mikit)

Sleight of Handで手品って意味らしい。pwn筋問題です。SQLite3のバイトコードを好きに書けるのでシェルを起動してください。以上。 個人的にはPythonとかOCamlとかLuaとかPHPとかそういう通常の言語処理系をpwnするより、ちょっとおもしろかったと思う(SQLを処理するのにある程度特化しているのでVMがちょうどいい感じに不便で、とはいえSQLite3のコードベースは大してデカくないのでリサーチが大変ではない)が、これはただの偶然です。

ISUCON後の懇親会中にmikitくんが、「SQLite3って内部でバイトコードインタプリタになっていて、これpwnしたらおもろくね?」って言ってきたので、問題にしました。ISUCONとmikitくんありがとう... *3

これに関連して問題数が不足していたrevジャンルを増やすために、SQLite3のバイトコードのrevを出したんですが、実行可能なバイナリを配る形にはなっていなかったので、情報が本当に足りているのかは実は最後まで不安で、感情がめちゃくちゃだったので、arataくんが最初に解いてくれたときは涙が止まらなくなりました(ありがとう...)

H*

「unsoundなHaskell向け篩型システム」を実装して出すという、アイデア実現のための実装がゴリゴリな問題。実は実装言語がOCamlという意味不明な言語 & バックエンドで使用されている言語がさらに意味不明なF*及びHaskellであることを除けばそこまで難しいことはしておらず、単にパースして、F*でrefinement type checkを行ったうえで、Haskellに変換してコンパイル&実行しているだけ。 *4 想定は、OCamlとHaskellのevaluation orderの違いをexploitするもので、以下のプログラムがOCamlだと発散するのでflagへreachableなpathが存在せずsafeとして判定されるが、Haskellだと遅延評価のおかげで発散せずflagが表示される。

let rec loop:: x::Integer{1>0} -> Dv(x::Integer{0>1}) = \x -> loop x in
  let n = loop 1 in
  flag 1

本当はもう少し難しくしたかったが、僕がとある定理をF*で示す方法が分からなかったので諦めました。できたらまた問題にします(いいえ)

問題が面白くできなくて泣いている様子

ただ、処理系を少しfancyにしたくて割り算を入れたばっかりにむしろ非想定解を生んでしまって泣きました。作者がHaskellをほとんど書いたことがないのがわかりますね

Cached File Viewer (w/azaika )

SQLiteの問題を作問しているさなか、研究室にいた azaika くんに、おもしろネタ乞食をしたところ降ってきたアイデアを 川外川で議論しながら、(半ば勝手に)問題にした。なのでこれはほとんどazaika問と言っていい。 話はC++ネタで、「多くの場合(SSOが効かない程度に長い文字列のときには)顕在化しないようなstring_viewのlifetime違反をちゃんと見つけて、exploitできますか?」という問題。 想定解であっても以下をするだけなので、easyタグをつけたが、非想定解ありの12 solvesで他の解かれ方を見ていると、難易度推定をややミスったかもしれない

$ nc 34.146.186.1 21005
1. load_file
2. read
3. bye
choice > 1
index > 1
filename > /var/lib/dpkg/info/libdb5.3t64:amd64.shlibs
Read 22 bytes.
1. load_file
2. read
3. bye
choice > 1
index > 1
filename > flag
Read 22 bytes.
content: TSGCTF{hQAz-yXc6fLoyK}

最初出した問題のミスはまじで申し訳なくて、その上で2にも残ってた /dev/fd/.. のミスは何年CTFをやっているのでしょうか?みたいなミスだった終わり。

まあでもdiscord見ていたら、keymoonくんが完全に題意を理解して解いてくれていたので happy happy happy~。 ちなみに、この問題をbruteforceなしで美しく解くには22バイトのregular fileが必要なんですが、keymoonくんと 同じ /var/lib/dpkg/info/libdb5.3t64:amd64.shlibs を僕も使いました。

*1:ちなみに、すでに2度LIVE CTFでこれを反故にしてはいる。カスです

*2:ここは個人の思想の部分が入るが強いチームはpwn筋がある人間がいる

*3:ちなみにISUCONでは、今年もTシャツ圏内(23位?)だったので、これで7年連続らしい、チーム各位ありがとう..

*4:これらを全部まとめたDockerイメージを作るのが割としんどかった