CTF各位
正直言いましょう、良問ではないです。
ただ、解けないことはありません。いや、解けないかもしれません。
・本来のファイルから、初めの4byte(印字可能文字列)を削ってあります。正しい4byteを足してからごにょごにょしてください。
http://www.dropbox.com/s/t8x29k4fxfm5l0s/file
解けたら@cookies146までDMでもしてください。
ヒント(今の段階では見ないとおそらく解けない):
1.カテゴリではTrivia/Misc辺りになると思います。Trivia要素が強いでしょうか。
2.僕の好きなものを考えてみてください。自分のプロフィールが書けるところには欠かさず入れているあれです。
そのうち、削った4byteを公開します。
正答者
-
- @nk0t 13/09/14 12:46:53
Symbol Table Overflow
初めて知った。Rubyのシンボルって無限には作れないんだね。
a="a" loop do puts a.to_sym a = a.succ end
こんなスクリプト書いた。
そしたら"dodxx".to_symの次のシンボルづくりで死んだ。
a.rb:3:in `to_sym': symbol table overflow (symbol dodxy) (RuntimeError) from a.rb:3:in `<main>' ruby a.rb 28.19s user 16.40s system 28% cpu 2:37.73 total
んで、
("a".."dodxx").to_a.size # => 2094896
この数字 is 何.
暇だったらRubyのソース読みたいっすね
追記:
ちなみに
$ ruby -v
ruby 2.0.0p247 (2013-06-27 revision 41674) [i686-linux]
でしたのだ。
環境によって数はかわるっぽいのですだ。特にx86_64?
追記2:
上のloopに入る前に
a="aaaaa"
300.times do
eval("#{a}=\"test\"")
end
と入れたら、作成できるシンボルの数が300減った。
今頑張って
2095000.timesのevalしてるとこ。
GCとか僕よくわかんないので。
学校から帰ってきたらなにか起きているはず。
conflict / collision
きとけいさんが詳しくconflict/collisionについて書いてくださってました。http://blog.kitokey.net/2013/08/collisionconflict.html
conflictとcollision似すぎつらい
— koosiizu (@cookies146) 2013, 8月 21
"collision opinion" Google - 69,900,000 件 hits
Weblio collision
- 衝突,激突
- 意見の対立
"conflict opinion" Google -276,000,000 件 hits
Weblio conflict
- 武力による闘争,主張上の論争
- 思想の対立、矛盾
- 葛藤
ハッシュ値、ネットワークのcollisionとかは偶然に同じ感じになってしまって激突するのかな。
バージョン管理システム、同じような機能のソフトウェア同士のconflictとかは1リソースに対する主張が対立するのかな。
少なくとも物理的衝突のイメージはcollisionにしかないらしいです。交通事故とか。
セキュキャン2013
作りました:セキュリティキャンプ2013感想まとめ
セキュリティ・キャンプ中央大会2013にソフトウェア・セキュリティ・クラスのチューターとしてお仕事させていただきました。
昨年のセキュキャン2012にソフトウェアクラス卒業したので、一年後に戻ってきた感じですね。
専門の話で言えば、
去年の専門講義はアセンブラ読経・マルウェア解析なんかの解析技術の講義が印象的でしたが、
今年はソフトウェアの脆弱性攻撃・OS/Compilerの攻撃対策技術・その技術の回避方法といった、
実際の攻撃手法とその対策法が主だっていた気がしました。
内容が変わってもソフトウェアを学ぶ楽しさは変わらない。
全体参加のイベントは、
特別講義でNICTERの話を聞かせていただきました。ありゃおもしろいですね。パケットがびゅんびゅん。
「セキュリティの見せる化」がすごすぎました。
去年はなかったイベント、企業見学に行かせていただきました。
滅多に見ることのできない最先端のセキュリティ現場を見れました。
チューターとしては、
やることはやったつもりだけど、もっとなんかできたかなぁとは思っています。いろいろ反省。
仕事も他の方々に助けていただきました。ありがとうございました。本当にありがとうございました。
特に同じソフトウェアクラスチューターだったyasulibさんには、感謝しきれない。しきれないけどありがとうございました。
特に大事件もなかったようですし、「キャンプ一ヶ月くらいやりたい」という声も聞きましたし、キャンプはうまくいったってことで良いんじゃないでしょうか。
今年参加して去年のキャンプの楽しかった記憶が思い出され、
また今年分のキャンプの楽しみもできて。やっぱキャンプ楽しいっすね。
これからもっと精進しなくては。
チューターのくせに実は未だにWindowsのシェルコードちゃんと作れてないし、例のexploitの原理を理解していない。
それからだでぃ子さんのチュータープレゼンがやばすぎて刺激受けまくり。
CTFにて:CSRFすごいね!感動。
誰かが終わりの方で言ってました。
「キャンプの前からとてもセキュリティに興味あった人もいたし、キャンプ前はセキュリティというより(ここで学べる)技術だけに興味があっただけで、キャンプ参加してセキュリティに興味をもった人もいたけど、みんな楽しかったとの感想は一致している。どんな人でもセキュリティキャンプを楽しめるってことなんだから応募用紙かけってことです。」と。
/* ちょこっと表現が違うところもあるかもしれないですが、「誰でも楽しめるんだから応募用紙書け」って事は間違いなく言ってました */
これは公開されるべき言葉かなぁと。僕もまったく同感です。
おそらく来年もあるだろうので、キャンプに興味持ったらとりあえず応募しましょうよ。 to 来年5,6月頃このページを見る人へ
なんかまだまだ書きたいことがいろいろあった気がするんだけど...
みなさんお疲れ様でした。ありがとうございました。わいわい。
チューター応募の動機は、去年のとてもよい思い出のほんの少しの恩返しくらいできたらなとか思ったのと、同じ界隈に興味を持つ怖い人々にお会いしたかったからですね。
このイベント参加がもし小学生とかなら「なつやすみのおもいで」みたいな日記帳に余す所なく文字が書けるんですけれど、悲しいことに高校生にそのような課題はなく、これから頑張るところです。
うっ...
もしかして:チューターになるには
http://www.youtube.com/watch?v=nBMXxDg8Hlw
へたな文章ごめんなさい...みなさんのプレゼン能力の高さには圧倒されました...