DEFCON 2018 Write Up

Welcome問1つだけしか解けなかった.

ELF Crumble

問題文より,ELFバイナリがいくつかに分割されていると推測できる.
与えられた圧縮ファイルを解凍すると,次のようなファイル群がある.

$ ls -l
total 80
-rwxr-xr-x@ 1 MasatoYamazaki  staff  7500  5  2 05:37 broken
-rw-r--r--@ 1 MasatoYamazaki  staff    79  5  2 05:42 fragment_1.dat
-rw-r--r--@ 1 MasatoYamazaki  staff    48  5  2 05:46 fragment_2.dat
-rw-r--r--@ 1 MasatoYamazaki  staff   175  5  2 05:47 fragment_3.dat
-rw-r--r--@ 1 MasatoYamazaki  staff    42  5  2 05:48 fragment_4.dat
-rw-r--r--@ 1 MasatoYamazaki  staff   128  5  2 05:56 fragment_5.dat
-rw-r--r--@ 1 MasatoYamazaki  staff    22  5  2 05:56 fragment_6.dat
-rw-r--r--@ 1 MasatoYamazaki  staff   283  5  2 06:00 fragment_7.dat
-rw-r--r--@ 1 MasatoYamazaki  staff    30  5  2 06:00 fragment_8.dat

また, broken の中身を見てみると, X が大量に続いているところがあるのが確認できる.

$ xxd broken | less
...
000005a0: 5589 e55d e957 ffff ff8b 1424 c358 5858  U..].W.....$.XXX
000005b0: 5858 5858 5858 5858 5858 5858 5858 5858  XXXXXXXXXXXXXXXX
000005c0: 5858 5858 5858 5858 5858 5858 5858 5858  XXXXXXXXXXXXXXXX
000005d0: 5858 5858 5858 5858 5858 5858 5858 5858  XXXXXXXXXXXXXXXX
000005e0: 5858 5858 5858 5858 5858 5858 5858 5858  XXXXXXXXXXXXXXXX
...

続いている X の長さは 807fragment_*.dat の総バイト数も 807 である.

$ strings broken | grep XXX | wc -c
808     # 最後の改行文字がカウントされているので1多い
$ ll fragment* | awk '{sum+=print$5} END {print sum}'
807

これより, broken 中にある X の部分を取り出して分割したものが fragment_*.dat であると考えられる.

というわけで,単純に結合してみる.

$ dd if=broken bs=1 count=1453 of=head.bin  # XXXまでを取り出し
$ dd bs=1 if=broken skip=2260 of=tail.bin   # XXXより後を取り出し
$ cat head.bin fragment* tail.bin > restored
$ chmod 755 restored
$ ./restored
Segmentation fault (core dumped)

だめだった.おそらく,結合する順番がおかしい.

ここで,結合する組み合わせが何通りあるかを考える.
分割されたバイナリは全部で8個あり,それぞれの順番も考慮する必要があるということから, 8! = 40320 通りであることがわかる.
この程度なら全部試してもそこまで時間がかからないはずなので,総当りで試してみる.

# -*- coding: utf-8 -*-

import itertools


with open('head.bin', 'rb') as f:
    header = f.read()

with open('tail.bin', 'rb') as f:
    footer = f.read()

filename = 'fragment_%d.dat'
permutations = itertools.permutations(range(1, 9))

count = 0
for permutation in permutations:
    output = 'binaries/binary%05d' % count
    with open(output, 'wb') as wf:
        wf.write(header)

        for i in permutation:
            with open(filename % i, 'rb') as rf:
                data = rf.read()
            wf.write(data)

        wf.write(footer)

    count += 1

このプログラムを実行すると, binaries ディレクトリ以下に結合されたバイナリが格納される.
あとは,これらに実行権限を付与して実行してあげれば,どれかのバイナリがフラグを出力してくれるはず.

$ chmod 755 binaries/*
$ cd binaries
$ for file in `ls`; do $file >> output.txt; done
$ cat output.txt
welcOOOme

Kubernetesでセッションを維持する

ログインが必要なタイプのWebアプリケーションをKubernetesで動かす際,何も考えずにPodを複数動かしてしまうと,正常にセッション管理ができない場合がある.

例えば,ログインしたという情報をWebアプリケーション側で保持しておく場合を考える.
1. DeploymentでPodのreplicaを3つ作る(Pod A,Pod B,Pod C)
2. クライアントがServiceを経由してPod Aにアクセスする.
3. クライアントはPod Aでログインする
4. ログインを終えたクライアントが,次の画面に遷移するために新しいリクエストを送る
5. リクエストを受け取ったServiceが,Pod A以外のPod(例えばPod B)にリクエストを振り分ける
6. Pod Bではクライアントがログインしたという記録がないので,再度ログイン画面に飛ばされる
7. 同様に,ログイン -> 次のPodに振り分けられるというのが続いてしまう

このような問題を解決するため,Serviceを作成する時に sessionAffinityClientIP に設定する.
ClientIP にすることで,クライアントのIPアドレスを考慮しながらPodへリクエストを流してくれるので,ステートフルなアプリケーションもKubernetes上で実行できる.

文章で説明するのは得意ではないので,実際にテスト.
例として,GrafanaをKubernetesで動かしてみる.
DeploymentとServiceを次のように作成する.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: grafana-deployment
spec:
  replicas: 3
  template:
    metadata:
      labels:
        app: grafana
    spec:
      containers:
        - name: grafana
          image: grafana/grafana
          ports:
            - name: grafana-port
              containerPort: 3000
              protocol: TCP
  selector:
    matchLabels:
      app: grafana
---
apiVersion: v1
kind: Service
metadata:
  name: grafana-service
spec:
  ports:
    - name: grafana
      port: 3000
      protocol: TCP
      targetPort: grafana-port
  selector:
    app: grafana
  type: NodePort
  sessionAffinity: ClientIP

上のマニフェストを用いて作成.

$ kubectl create -f grafana.yml

sessionAffinityClientIP に設定しているので,正常にログインができるはず.

Docker Engine API試用

前に少し気になっていたDocker Engine APiを使ってみたので,それについて.

特に複雑なことはせず,引数に与えたイメージを削除するというプログラムを作ってみた.
ただ単純に削除するだけではつまらないので,何世代分保存しておくか,というのをオプションで指定できるようにした.

コードは mas9612/docker-tools/image-remove に置いてある.
あまりきれいなコードではないのでご注意ください.

Client.ImageList() メソッドでローカルにあるイメージの一覧が取得できるが, filter でイメージ名を指定できなさそうだったので,愚直にfor文で1つ1つ確認している.
アルゴリズムは得意ではないので,良い方法があれば教えてください…

images, err := client.ImageList(ctx, types.ImageListOptions{})
if err != nil {
    log.Fatalf("[ERROR] client.ImageList(): %s\n", err)
}

for _, image := range images {
    for _, repotag := range image.RepoTags {
        repository := strings.Split(repotag, ":")
        if repository[0] == *imageName {
            imageInfos = append(imageInfos, imageInfo{
                ID:      image.ID,
                Created: image.Created,
                Name:    repotag,
            })
        }
    }
}

削除対象のイメージをリスト出来たら,それを作成日時でソートし,指定した世代分は残してそれ以外を Client.ImageRemove() メソッドで削除している.
デフォルトでは,イメージ名にマッチしたもの全てを削除するようになっているのでお気をつけください.

if *generation > len(imageInfos) {
    *generation = len(imageInfos)
}
removeOptions := types.ImageRemoveOptions{
    Force: *force,
}
for _, image := range imageInfos[*generation:] {
    _, err := client.ImageRemove(ctx, image.ID, removeOptions)
    if err != nil {
        log.Fatalf("[ERROR] client.ImageRemove(): %s\n", err)
    }
    fmt.Printf("Image %s was deleted.\n", image.Name)
}

やっている事自体は簡単なので,ドキュメントと見比べて頂ければわかると思います.

GoでMySQLを使う – database/sql package

GoからMySQLを使う方法について調べた.
O/Rマッパーを使う方法も気になったが,まずGo標準パッケージで用意されている機能を使い,SQLを地道に実行していく方法を試した.

ソースコードは以下.

実行

Dockerを使って簡単にローカルにMySQLを準備する.

$ docker run -p 3306:3306 -e MYSQL_ROOT_PASSWORD=mypass -e MYSQL_DATABASE=testdb -e MYSQL_USER=mysql -e MYSQL_PASSWORD=mypass -d --name mysql mysql

DBの準備後,作成したソースコードを実行する.

$ go run mysql_example.go
ID: 1, Name: Tom
ID: 2, Name: Bob
ID: 3, Name: Alice

INSERTしたデータが正しく取得できていそうである.
念のため,MySQLに入って確認してみる.

$ docker exec -it mysql mysql -u root -p
Enter password:

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| testdb             |
+--------------------+
5 rows in set (0.01 sec)

mysql> use testdb;
Database changed

mysql> show tables;
+------------------+
| Tables_in_testdb |
+------------------+
| test_tbl         |
+------------------+
1 row in set (0.00 sec)

mysql> select * from test_tbl;
+------+-------+
| id   | name  |
+------+-------+
|    1 | Tom   |
|    2 | Bob   |
|    3 | Alice |
+------+-------+
3 rows in set (0.00 sec)

上記の通り,正常にテーブルの作成とデータの追加が行えていることが確認できた.

解説

準備

Goの database/sql パッケージを使うと,色々なDBを扱うことができる.
しかし, database/sql パッケージとは別に,ここから使いたいDBのdriverを探してインストールしておく必要がある.
今回はMySQLを使いたいので,go-sql-driver/mysqlを利用した.
下記コマンドで go-sql-driver/mysql をインストールする.

$ go get -u github.com/go-sql-driver/mysql

データベースへの接続

データベースへ接続するには, sql.Open() メソッドを使用する.
第1引数に使用したいdriver名,第2引数に接続先を指定する.

db, err := sql.Open("mysql", "mysql:mypass@/testdb")

接続確認を行いたい場合は, sql.Open() の後に DB.Ping() メソッドを呼び出すことでできる.

if err = db.Ping(); err != nil {
    log.Fatalf("db.Ping(): %s\n", err)
}

SQLの実行

SQLの実行は, DB.Exec() 及び DB.Query() メソッドで行うことができる.
CREATE文やINSERT文など,DBからデータが返ってこないものに関しては DB.Exec() メソッドを用い,SELECT文などDBからデータを取得するのが目的であるものに関しては DB.Query() メソッドを用いる.

Exec()

_, err = db.Exec("create table test_tbl (id int, name varchar(32))")
if err != nil {
    log.Fatalf("db.Exec(): %s\n", err)
}

Query()

DBからの結果は sql.Rows に入っている.
Rows.Scan() メソッドで,1レコードの中から値(今回であればSELECT文での取得対象に * をしているため,全てのカラム = idname )を取得することができる.
Rows.Scan() メソッドの引数にはポインタを渡すことに注意する.

1レコード分の処理が終了し,次のレコードに移るためには Rows.Next() メソッドを呼び出す.

var rows *sql.Rows
rows, err = db.Query("select * from test_tbl")
if err != nil {
    log.Fatalf("db.Query(): %s\n", err)
}
defer rows.Close()

for rows.Next() {
    var (
        id   int
        name string
    )
    err = rows.Scan(&id, &name)
    if err != nil {
        log.Fatalf("rows.Scan(): %s\n", err)
    }

    fmt.Printf("ID: %d, Name: %s\n", id, name)
}
if err = rows.Err(); err != nil {
    log.Fatalf("rows.Err(): %s\n", err)
}

Go net package – Goでソケット通信

Goのnetパッケージについて軽く勉強した.
簡単なソケット通信についてまとめる.

ソケット通信

ソースコードは以下.

package main

import (
    "fmt"
    "log"
    "net"
)

func main() {
    host := "localhost"
    port := "8000"
    address := net.JoinHostPort(host, port)
    conn, err := net.Dial("tcp", address)
    if err != nil {
        log.Fatalf("net.Dial(): %s\n", err)
    }
    defer conn.Close()

    request := "GET / HTTP/1.1\n\n"
    fmt.Println([]byte(request))
    _, err = conn.Write([]byte(request))
    if err != nil {
        log.Fatalf("Conn.Write(): %s\n", err)
    }

    buffer := make([]byte, 1024)
    var n int
    for {
        n, err = conn.Read(buffer)
        if n == 0 {
            break
    }
    if err != nil {
        log.Fatalf("Conn.Read(): %s\n", err)
    }
    fmt.Print(string(buffer))
    }
}

以下に簡単な解説を.

Goでのソケット通信は, Conn オブジェクトを作成するところから始まる.
まず, net.Dial()Conn オブジェクトを作成する.

conn, err := net.Dial("tcp", address)

第1引数にはネットワークの種類を,第2引数には接続したい先のアドレスを指定する.
今回はサンプルとしてローカルに立てたHTTPサーバへ接続してみるので,ネットワークの種類は TCP を指定しておく.

Conn オブジェクトを作成できたら,後は Conn.Read()Conn.Write() でデータの読み書きができる.

_, err = conn.Write([]byte(request))
...
...
n, err = conn.Read(buffer)

簡単なソケット通信は以上の3つのメソッドを使うことで簡単にできる.

Pythonで簡単にローカルHTTPサーバをたて,作成したプログラムを実行してみる.

$ python -m http.server
$ go run main.go
HTTP/1.0 200 OK
Server: SimpleHTTP/0.6 Python/3.6.2
Date: Sun, 04 Feb 2018 12:47:14 GMT
Content-type: text/html; charset=utf-8
Content-Length: 336

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Directory listing for /</title>
</head>
<body>
<h1>Directory listing for /</h1>
<hr>
<ul>
<li><a href="main.go">main.go</a></li>
</ul>
<hr>
</body>
</html>

JoinHostPort()/SplitHostPort()

上の例でも使っているが,これらのメソッドを使うことでアドレスとポート番号の結合・分離が簡単にできる.

address := net.JoinHostPort("localhost", "8000")
fmt.Println(address) // localhost:8000

host, port, err := net.SplitHostPort("localhost:3000")
if err != nil {
log.Fatalf("net.SplitHostPort(): %s\n", err)
}
fmt.Printf("Host: %s, Port: %s\n", host, port) // Host: localhost, Port: 3000