Mitamaeでdotfilesの管理をやるようにした

Mitamaeでdotfilesの管理をするようにした。

Mitamaeとは

プロビジョニングツールのitameのmruby実装である。mruby実装にすることで何がうれしいかというとRuby や gem に依存しなくなるというのがある。Mitamaeのバイナリがあれば動くので、curlで引っ張ってきてシュッと使うことができる。ちなみに読みは「見給え」ではなく「えむいたまえ」らしい。

k0kubun.hatenablog.com

これを使うと環境構築のための環境構築を最小限の手間にすることができる。 dotfilesのデプロイにいままで自前シェルスクリプトを使っていたが、やはりitamaeを使うほうが便利であった。 dotfilesのデプロイだけではなく、ソフトウェアのインストールまで簡単にできる。

構成

ぼくのdotfilesはtkmru/dotfilesで、k0kubun/dotfilesakito19/dotfiles をかなり参考にしている。

$ tree -aL 2
.
├── .git
│   ├── FETCH_HEAD
│   ├── HEAD
│   ├── ORIG_HEAD
│   ├── config
│   ├── description
│   ├── hooks
│   ├── index
│   ├── info
│   ├── logs
│   ├── objects
│   ├── packed-refs
│   └── refs
├── .gitignore
├── README.md
├── bin
│   └── setup_mitamae.sh
├── config
│   ├── .bash_aliases
│   ├── .bash_profile
│   ├── .bashrc
│   ├── .gdbinit
│   ├── .gitconfig
│   ├── .profile
│   ├── .tmux.conf
│   └── .vimrc
├── cookbooks
│   ├── gdb
│   ├── git
│   ├── symboliclinks
│   ├── tmux
│   └── vim
├── deploy.sh
├── init.sh
├── lib
│   └── bootstrap.rb
└── roles
    ├── darwin
    └── ubuntu

最初に実行するのはinit.shで、OSがmacだった場合、Xcode Command Line Toolsのインストールやhomebrewのインストールを行い、Mitamaeをcurlでダウンロードする。そして最後にホームディレクトリからdotfilesへのシンボリックリンクを貼るdeploy.shを実行している。deploy.shからMitameを用いてlib/bootstrap.rbを実行し、roles.rbからcookbook以下のレシピを実行している。 また、OSごとに使うdotfilesが違う(ubuntuの.profileとか)ので、deploy.sh内でunameを使ってOSを判定し、roles以下で異なる処理をさせている。

参考資料

GSoC完走できた〜💪

GSoC完走できた〜!!metasploit-framework に3ヶ月間、コントリビュートしていました。


f:id:TAKEmaru:20170910004947p:plain

tkmr.hatenablog.com

linuxのstager周りを触るということでアセンブリ書いてお金💰もらってたけれど、そうそう業務でアセンブリ書かないだろうし、これが人生で最初で最後になる気がする。Googleからお金もらうのもこれ最後か〜と思うとエモくなってきた。

参加前にwebで参加記みたいなの読んでた時は、進捗報告ミーティングがしょっちゅうあるみたいなことを見ていたのでビビっていたけど、Metasploitでは適宜困ったら相談というかんじで平和に進行していった。試験期間はあまりコミットできないって言ったら了承してもらえたりもした。採用されるOSSによるだろうけど、ビビらずに応募するとよさそう。

期間中のおもしろエピソードとしては、チャットツールが最初はIRCだったけど、「ログ取るのにサーバ必要だしやだ〜」って言ったらTwitterのDMになって、それからGoogle Hangoutになって、最終的にslackになったこととか、rapid7から日本語できる人が出てきたというのがある。

書きかけのshellcodeが2つあるのでこれは後々プルリク送りたい〜。OSSに名前を残せたとかより、チャットなら英語でコミュニケーション問題なくとれることが分かったのが一番の収穫な気がする。とは顔本で書いたものの著名なOSSに名前が入るとアガる。

f:id:TAKEmaru:20170910010731p:plain

これからも継続してコミットしていけるといいですね。

HackIT CTF 2017 rev200 writeup

問題

Description: You haxor, come on you little sciddie… debug me, eh? You fucking little lamer… You fuckin’ come on, come debug me! I’ll get your ass, you jerk! Oh, you IDA monkey! Fuck all you and your tools! Come on, you scum haxor, you try to reverse me? Come on, you asshole!!

rev200.efiというefiファイルが与えられる。

$ file rev200.efi 
rev200.efi: PE32+ executable (DLL) (EFI application) x86-64 (stripped to external PDB), for MS Windows

解く

シンボル付きのバイナリなので読みやすい。efi_main()を見ると、InitializeLib()でライブラリの初期化とInput()で入力の受け付けを行っているのが分かる。Inputの直後でalgo()をcallしていてあやしい。

f:id:TAKEmaru:20170904044949p:plain

algo()を見るとCorrect、Wrongを出力していて、ここで入力値のチェックをしていると分かる。algo()をhopperでデコンパイルすると以下のようになった。

int algo(int arg0) {
    rsp = rsp - 0x180;
    rbp = rsp + 0x80;
    arg_32 = arg0;
    for (arg_-1 = 0x0; arg_-1 <= 0x13; arg_-1 = arg_-1 + 0x1) {
            *(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0x90) = *(int8_t *)(arg_32 + sign_extend_64(arg_-1)) & 0xff & 0xff;
    }

    for (arg_-1 = 0x0; arg_-1 <= 0x13; arg_-1 = arg_-1 + 0x1) { // check input
            *(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0x90) = (((*(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0x90) ^ 0xc) + 0x6 ^ 0xd) + 0x7 ^ 0xe) + 0x8;
            *(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0x40) = (((*(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0x40) ^ 0xf) + 0x9 ^ 0x10) + 0xa ^ 0x11) + 0xb;
    }

    for (arg_28 = 0x0; arg_28 <= 0x13; arg_28 = arg_28 + 0x1) {
            *(int32_t *)(rbp + sign_extend_32(arg_28) * 0x4 + 0xffffffffffffffa0) = *(int32_t *)(rbp + sign_extend_32(arg_28) * 0x4 + 0x90);
    }

    for (arg_29 = 0x14; arg_29 <= 0x27; arg_29 = arg_29 + 0x1) {
            *(int32_t *)(rbp + sign_extend_64(arg_29 + 0xffffffffffffffec) * 0x4 + 0x40) = *(int8_t *)(arg_32 + sign_extend_64(arg_29)) & 0xff & 0xff;
    }
    for (arg_-1 = 0x14; arg_-1 <= 0x27; arg_-1 = arg_-1 + 0x1) {
            *(int32_t *)(rbp + sign_extend_32(arg_-1) * 0x4 + 0xffffffffffffffa0) = *(int32_t *)(rbp + sign_extend_32(arg_-1 - 0x14) * 0x4 + 0x40);
    }

    if (memcmp(&var_-96, correct, 0xa0) == 0x0) {
            rax = Print(u"\nCorrect\n", correct, 0xa0, r9);
    }
    else {
            rax = Print(u"\nWrong\n", correct, 0xa0, r9);
    }
    return rax;
}

入力値をxorしたあと、memcmpでcorrectと比較している。 総当りで解くsolverを書いた。

# coding: UTF-8

correct = [104, 60, 121, 113, 99, 124, 129, 146, 146, 101, 101, 147, 146, 73, 121, 146, 56, 108, 60, 111, 123, 135, 88, 85, 137, 90, 89, 126, 126, 107, 135, 108, 87, 108, 107, 88, 89, 90, 90, 111];
flag = ""

for i in range(20):
    for j in range(256):
        if ((((((j ^ 0xc) + 6) ^ 0xD) + 7) ^ 0xe) + 8) == correct[i]:
            flag += chr(j)

for i in range(20):
    for j in range(256):
        if (((((j ^ 0xf) + 9) ^ 0x10) + 10) ^ 0x11) + 11 == correct[i+20]:
            flag += chr(j)
   
print(flag)

z3pyを使っても解くことができる

# coding: UTF-8

from z3 import *

FLAG_LENGTH = 40
correct = [104, 60, 121, 113, 99, 124, 129, 146, 146, 101, 101, 147, 146, 73, 121, 146, 56, 108, 60, 111, 123, 135, 88, 85, 137, 90, 89, 126, 126, 107, 135, 108, 87, 108, 107, 88, 89, 90, 90, 111];

s = Solver()
text = []

for i in range(FLAG_LENGTH):
    text.append(BitVec(i, 8))
    s.add(And(text[i] >= 0x20, text[i] < 0x7f)) # in printable ascii

for i in range(20):
    s.add(((((((text[i] ^ 0xC) + 6) ^ 0xD) + 7) ^ 0xE) + 8) == correct[i])

for i in range(20, 40):
    s.add((((((text[i] ^ 0xF) + 9) ^ 0x10) + 10) ^ 0x11) + 11 == correct[i])

if s.check() == sat:
    m = s.model()
    flag = ''
    for i in range(FLAG_LENGTH):
        flag += chr(int(str(m[text[i]])))

    print(flag)
$ python solver.py 
h4ck1t{ff77af3cf8d4e1e67c4300aeb5ba6344}

HackIT CTF 2017 rev150 writeup

問題

Description: Looks like this packer can not unpack what has been packed :( There are 2 mistakes in unpacking procedure. It leads to the error. Try to fix unpacker and figure out what is inside.

packerとpackedという2つの64bitのELFが与えられる。

解く

packedを動かすと0x6b5489でSegmentation faultで落ちる。

$ ulimit -c unlimited
$ strace ./packed 
execve("./packed", ["./packed"], [/* 74 vars */]) = 0
--- SIGSEGV {si_signo=SIGSEGV, si_code=SI_KERNEL, si_addr=0} ---
+++ killed by SIGSEGV (core dumped) +++
Segmentation fault (コアダンプ)
$ gdb ./packed core
Reading symbols from ./packed...(no debugging symbols found)...done.
[New LWP 10428]
Core was generated by `./packed'.
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x00000000006b5489 in ?? ()
gdb-peda$ 

落ちた0x6b5489周辺を見てみると、0x6b548fでraxがindexとして使われているのに0x6b5489ではrdxをindexにしていておかしいような気がしてくる。 0x6b548fでindexであるraxに+2しているのもあやしい。

f:id:TAKEmaru:20170902220558p:plain

0x6b548f、0x6b5489を以下のようにhopperで変更する。

00000000006b5489         xor        byte [rax], dl                              ; CODE XREF=_6b5468+46
00000000006b548b         ror        rdx, 0x8
00000000006b548f         add        rax, 0x1
00000000006b5493         cmp        rax, rcx

実行するとまたも Segmentation faultで落ちる。

$ ulimit -c unlimited
$ strace ./modify_packed 
execve("./modify_packed", ["./modify_packed"], [/* 74 vars */]) = 0
uname({sys="Linux", node="ubuntu", ...}) = 0
brk(0)                                  = 0x25ec000
brk(0x25ed1c0)                          = 0x25ed1c0
arch_prctl(ARCH_SET_FS, 0x25ec880)      = 0
readlink("/proc/self/exe", "/mnt/hgfs/ctf2/hackit/rev150/Bro"..., 4096) = 55
brk(0x260e1c0)                          = 0x260e1c0
brk(0x260f000)                          = 0x260f000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 9), ...}) = 0
write(1, "The hardest part is overcome.\n", 30The hardest part is overcome.
) = 30
--- SIGSEGV {si_signo=SIGSEGV, si_code=SEGV_MAPERR, si_addr=0} ---
+++ killed by SIGSEGV (core dumped) +++
Segmentation fault (コアダンプ)
$ gdb ./modify_packed core
Reading symbols from ./modify_packed...(no debugging symbols found)...done.
[New LWP 10774]
Core was generated by `./modify_packed'.
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x000000000042194a in ?? ()
gdb-peda$ bt
#0  0x000000000042194a in ?? ()
#1  0x0000000000400bde in ?? ()
#2  0x0000000000400e63 in ?? ()
#3  0x00000000004010ee in  ()
#4  0x00000000004009ba in  ()

The hardest part is overcomeと出力された。やったぜ。 バックトレース結果にある0x400bdbを見ていく。

gdb-peda$ x/19i 0x400bdb
=>0x400bdb:  idiv   edi
   0x400bdd:    inc    DWORD PTR [rbp+0x481375c0]
   0x400be3:    mov    eax,DWORD PTR [rbp-0x10]
   0x400be6:    add    rax,0x10
   0x400bea:    mov    rax,QWORD PTR [rax]
   0x400bed:    mov    rdi,rax
   0x400bf0:    call   0x400aae <">
   0x400bf5:    mov    rax,QWORD PTR [rbp-0x10]
   0x400bf9:    add    rax,0x8
   0x400bfd:    mov    rax,QWORD PTR [rax]
   0x400c00:    lea    rsi,[rip+0x88fa9]        # 0x489bb0
   0x400c07:    mov    rdi,rax
   0x400c0a:    call   0x400370
   0x400c0f:    test   eax,eax
   0x400c11:    jne    0x400c18
   0x400c13:    call   0x400b39
   0x400c18:    mov    eax,0x0
   0x400c1d:    leave  
   0x400c1e:    ret    

0x400c00でrsiに0x489bb0のstringを入れている。

gdb-peda$ x/s 0x489bb0
0x489bb0:   "decr"

直後でcallされている0x400b39があやしいので見る。

gdb-peda$ x/33i 0x400b39
   0x400b39:    push   rbp
   0x400b3a:    mov    rbp,rsp
   0x400b3d:    sub    rsp,0x10
   0x400b41:    lea    rdi,[rip+0x2b1558]        # 0x6b20a0
   0x400b48:    call   0x417bb0
   0x400b4d:    mov    DWORD PTR [rbp-0x8],eax
   0x400b50:    mov    eax,DWORD PTR [rbp-0x8]
   0x400b53:    mov    DWORD PTR [rbp-0x4],eax
   0x400b56:    cmp    DWORD PTR [rbp-0x4],0x0
   0x400b5a:    js     0x400ba6
   0x400b5c:    mov    eax,DWORD PTR [rbp-0x4]
   0x400b5f:    movsxd rdx,eax
   0x400b62:    lea    rax,[rip+0x2b1537]        # 0x6b20a0
   0x400b69:    movzx  ecx,BYTE PTR [rdx+rax*1]
   0x400b6d:    mov    eax,DWORD PTR [rbp-0x8]
   0x400b70:    sub    eax,0x1
   0x400b73:    sub    eax,DWORD PTR [rbp-0x4]
   0x400b76:    movsxd rdx,eax
   0x400b79:    lea    rax,[rip+0x2b1520]        # 0x6b20a0
   0x400b80:    movzx  eax,BYTE PTR [rdx+rax*1]
   0x400b84:    xor    eax,ecx
   0x400b86:    xor    eax,0xffffff80                # 実質0x80
   0x400b89:    mov    BYTE PTR [rbp-0x9],al
   0x400b8c:    mov    eax,DWORD PTR [rbp-0x4]
   0x400b8f:    movsxd rdx,eax
   0x400b92:    lea    rax,[rip+0x2b1507]        # 0x6b20a0
   0x400b99:    movzx  ecx,BYTE PTR [rbp-0x9]
   0x400b9d:    mov    BYTE PTR [rdx+rax*1],cl
   0x400ba0:    sub    DWORD PTR [rbp-0x4],0x1
   0x400ba4:    jmp    0x400b56
   0x400ba6:    nop
   0x400ba7:    leave  
   0x400ba8:    ret    

0x400b62、0x400b79、 0x400b92でraxに代入されているアドレス 0x6b20a0 はフラグの一部を含んでいた。この関数内でxorすることでフラグを生成しているようである。

gdb-peda$ x/s 0x6b20a0
0x6b20a0:   "\225\300Ӆ\302\307ˉ\260\201\302ޚ\255\223\223\263\204\227\300\264\214گ_no_se1ler_sn0rom{t1kc4h"

フラグ生成処理を書き起こす。

# coding: UTF-8

flag_parts = bytearray(open("packed","rb").read())
offset = 0xb20a0

first_flag = ""
latter_flag =  str(flag_parts[offset+0x30/2: offset + 0x30])

for i in range(0x30/2):
  first_flag += chr(flag_parts[offset+i] ^flag_parts[offset+0x2f-i] ^ 0x80)
    
print((first_flag + latter_flag)[::-1])

フラグが出た

$ python solver.py 
h4ck1t{mor0ns_rel1es_on_p4ck3r5_vari0rs_d03sn0t}

最初のバイナリを修正するのがちょっとエスパーなかんじがする。

TomoriNaoから同人誌を出してコミケで頒布した。

所属しているCTFチームのTomoriNaoから同人誌を出してコミケで頒布しました。僕はMetasploitから学ぶ複アーキ シェルコード入門という題で記事を書きました。

f:id:TAKEmaru:20170813233314p:plain

無事完売した模様。

まさか200部も売れないだろうな〜と思っていたのでよかったですね。

複アーキ環境をエイってしてくれるシェルスクリプト書いた

リバースエンジニアリングであったりシェルコード開発であったりで、複数のアーキテクチャのバイナリが動作する環境が必要になることがある。

その環境構築と使い勝手をいいかんじにしてくれるシェルスクリプトを書いた。qcow2イメージの取り回しをよくする。

github.com

install.shとssh_config.sh、launch.shという3つのファイルがあって、名前通りinstall.shがインストールを、ssh_config.shがsshのconfigの追加を、launch.shがVMの起動を行う。launch.shを使うことで以下のようにqcow2イメージを起動できる。

$ ./launch.sh mipsbe
When it will be ready, just connect (credentials: root/root): ssh root@localhost -p2222
Launching Mipsbe machine

これで、sshでログインしてmipsbeの環境を使える。 qcow2イメージ毎にポートを変えているが、これはSSHWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!を避けるためである。 QEMUの起動時に-net nic -net user,hostfwd=tcp::2222-:22を指定することで、ポートフォワーディングの設定をやり、ポートをイメージ毎に変えている。

qemu-system-mipsel -M malta -kernel ~/qcow/mipsle/vmlinux-3.2.0-4-4kc-malta -hda ~/qcow/mipsle/debian_wheezy_mipsel_standard.qcow -append "root=/dev/sda1 console=tty0" -net nic -net user,hostfwd=tcp::2222-:22

ssh_config.shであらかじめconfigを追加しておくので、ssh アーキ名VMに接続できる。

#!/bin/bash

echo '
Host mipsle
  HostName localhost
  User root
  Port 2222

Host mipsbe
  HostName localhost
  User root
  Port 2223

Host armle
  HostName localhost
  User root
  Port 2224

Host aarch64
  HostName localhost
  User root
  Port 2225
' >> ~/.ssh/config

echo 'Add VM host to SSH config'

これで複アーキ環境をエイって使えるようになって便利になった。

gitの使ってないブランチをガッと消すコマンド書いた

バイトで開発するときブランチ切ってプルリクを送る感じで開発してて、ブランチ多いのが気になってたけど、ひとつひとつ消すのもだるいので書いた。

alias rmbr="git branch --merged | grep -v '*' | grep -v 'master' | xargs -I % git branch -d %"
alias rmbrall="git branch | grep -v '*' | grep -v 'master' | xargs -I % git branch -D %"

rmbr はマージ済みのブランチを、rmbrall は全てのブランチを消す。 git branchでブランチ名をゲットしたあと、grep -v で使用中のブランチと master ブランチを除外して、git branch -d/D で消す。 git branch -d はマージ済みのブランチを消して、-D はマージされたかどうかにか関わらず消す。

便利。

ちなみに、.gitconfigのaliasはこんなかんじにしている。

[alias]
    a = add
    br = branch
    cl = clone
    cm = commit
    co = checkout
    ga = log --graph --all --pretty=format:'%Cred%h%Creset -%C(yellow)%d%Creset %s %Cgreen(%cr) %C(bold blue)<%an>%Creset' --abbrev-commit --date=relative
    gr = log --graph --date=short --decorate=short --pretty=format:'%Cgreen%h %Creset%cd %Cblue%cn %Cred%d %Creset%s'
    l = log
    ph = push
    st = status
[color]
    diff = auto
    status = auto
    branch = auto
    grep = auto