まずはじめに、2021/2時点でgRPCがサポートされている言語にはPerlは含まれていなく、公式にはサポートされていません。 現時点でと言ったものの将来的にもサポートされることがないだろうことからPerlでgRPCを扱うのは茨の道といえるでしょう。

おとなしくgRPC transcodingしてHTTP REST APIで叩きましょう、というのがほぼ答えなのですがCPANに公開されているライブラリを使ってどこまでできるのかを検証するのがこの記事の目的です。

題材

gRPCで通信といっても、サーバとクライアントのどちらをPerlで実装するかという話になりますが、今回実装するのはクライアントです。 他の言語で書かれたマイクロサービスからPerlと通信することを想定して、手軽な例としてGAPIC Showcaseのサーバと通信することにしてみます。

github.com

google.showcase.v1beta1 packageにはいくつかのserviceが提供されていますが、その中でもEcho serviceの各メソッドを呼び出してみることを題材とします。 protoファイルに定義されたスキーマには、単純にリクエストを投げてレスポンスが返ってくるだけのEchoメソッドやサーバストリーミング、クライアントストリーミング、双方向ストリーミングなど形式で通信を行うメソッドが用意されています。

ちなみにIdentity serviceなどでも試したかったのですがproto3のoptional fieldが使われているため見送りました。

PerlからProtocol Buffersを扱う

protoファイルを元にメッセージのエンコード/デコードを行うためにGoogle::ProtocolBuffer::Dynamicを使います。 ほかにもモジュールは世に存在しているのですが、proto2にしか対応していない、メンテナンスされていないことから選択肢としては実質このモジュールしかありません。

metacpan.org

Google::ProtocolBuffer::Dynamicはその名前の通り、スタブコードを事前に生成しておくのではなく、protoファイルを読み込んで動的にインタフェースを生成します。

gRPCでクライアント通信をする場合はオプションを渡すことでGrpc::XSが内部で使われるようになります。Grpc::XSはCPANTSの結果を見るとMETA.ymlが存在しなくDevel::CheckLibの依存が漏れていたりなどと少し不安ではありますがGoogle::ProtocolBuffers::Dynamicからはこのモジュールを使うしかありません。

試してみる

PerlからgRPCで通信はできそうということがわかったので、実際にコードを書いて試してみます。今回書いたコードの全体は以下のリポジトリで公開しています。

github.com

まずはprotocコマンドを使ってスタブコードを生成します。このスタブコードというのはprotoファイルに定義されたメッセージの生成やメソッドの呼び出しを行えるようにするためのクライアント用に生成されたコードです。

以下のコマンドを実行するとGrpcSandbox::PBというPerlのパッケージが作られます。 生成されたコードにはシリアライズされたデータとgRPCとPerlのパッケージの紐付けが含まれており、実際にserviceを呼び出す際にはGrpcSandbox::PB::Google::Showcase::V1beta1::Echoパッケージを参照するといった形で行ないます。

% protoc \
    -Ithird_party/gapic-showcase/schema/api-common-protos \
    -Ithird_party/gapic-showcase/schema \
    --perl-gpd_out=package=GrpcSandbox.PB:lib \
    --perl-gpd_opt=client_services=grpc_xs \
    third_party/gapic-showcase/schema/google/showcase/v1beta1/echo.proto \
    $(find third_party/gapic-showcase/schema/api-common-protos/google -name '*.proto') \
    $(find /usr/local/include/google -name '*.proto')

ここで注意する点としては、GAPIC Showcaseが依存しているapi-common-protosとgoogle.protobuf packageのprotoファイルも読み込む必要があることです。必要に応じてprotoファイルのinclude pathも指定します。

余談ですがprotocの挙動としては--perl-gpd_xxxというオプションが渡されることでGoogle::ProtocolBuffer::Dynamicの提供するproto-gen-perl-gpdというコマンドが呼ばれるようになります。 このコマンド同士のやり取りにもProtocol Buffersが使われており、オプションやprotoファイルの一覧がCodeGeneratorRequestとして渡されていたりします。

Echoメソッドの実装

クライアントライブラリを提供するという形でgRPCで通信するメソッドを実装していきます。 適宜protoファイルを見ながら読んでもらえると理解しやすいと思います。

まずは以下のコードのようにしてEcho serviceへのコネクションを作成します。 コード中にでてくる $self->service はこれを指します。

my $service = GrpcSandbox::PB::Google::Showcase::V1beta1::Echo->new(
    'gapic-showcase:7469',
    credentials => Grpc::XS::ChannelCredentials::createInsecure(),
);

serviceにあるメソッドの呼び出しは->Echoのように同じ名前で呼び出す形に対応します。 google.showcase.v1beta1 packageのEchoRequestに対応するパッケージはGrpcSandbox::PB::Google::Showcase::V1beta1::EchoRequestです。

Echoメソッドは単一(Unary)リクエストなので、呼び出し後は->waitを使ってEchoResponseに対応するオブジェクトを取得します。メッセージのフィールドの値はget_というprefixをつけて取り出すことができます。

sub echo {
    my ($self, $content) = @_;

    my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::EchoRequest->new({
        content => $content,
    });
    my $call = $self->service->Echo(argument => $req);
    my $res = $call->wait;
    return $res->get_content;
}

Expand, Collectメソッドの実装

Expandメソッドは複数のレスポンスを受け取り(サーバストリーミング)、Collectメソッドは複数のリクエストを送ります(クライアントストリーミング)。

sub expand {
    my ($self, $content) = @_;

    my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::ExpandRequest->new({
        content => $content,
    });
    my $call = $self->service->Expand(argument => $req);
    my @res = $call->responses;
    return [map { $_->get_content } @res];
}

sub collect {
    my ($self, @contents) = @_;

    my $call = $self->service->Collect();
    for my $content (@contents) {
        my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::EchoRequest->new({
            content => $content,
        });
        $call->write($req);
    }
    my $res = $call->wait;
    return $res->get_content;
}

Chatメソッドの実装

Chatメソッドは双方向ストリーミングを行ないます。1つずつリクエストを送ってはレスポンスを受け取るという形にしてみました。

sub chat {
    my ($self, @contents) = @_;

    my @res;
    my $call = $self->service->Chat();
    for my $content (@contents) {
        my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::EchoRequest->new({
            content => $content,
        });
        $call->write($req);
        my $res = $call->read;
        push @res, $res->get_content;
    }
    $call->writesDone;
    return \@res;
}

Waitメソッドの実装

Waitメソッドは待ち時間を受け取りますが、即座にgoogle.longrunning.Operationを返します。google.longrunning.Operations serviceが実装されているのでGetOperationメソッドを定期的に呼び出し、そのoperationが終了したかどうかを確認するようにしてみました。

google.longrunning.Operationのresponseフィールドはgoogle.protobuf.Anyなので自分でWaitResponseにデコードする必要があります。

ちなみにgoogle.longrunning.Operationの詳しい仕様に関してはGoogle AIPsのAIP-151: Long-running operationsにあります。

sub wait {
    my ($self, $content, $ttl) = @_;

    my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::WaitRequest->new({
        success => { content => $content },
        ttl     => { seconds => $ttl },
    });
    my $call = $self->service->Wait(argument => $req);
    my $res = $call->wait;
    while (1) {
        my ($res, $done) = $self->_get_operation($res->get_name);
        if ($done) {
            my $wait_res = GrpcSandbox::PB::Google::Showcase::V1beta1::WaitResponse->decode($res->get_value);
            return $wait_res->get_content;
        }
        sleep 1;
    }
}

sub _get_operation {
    my ($self, $name) = @_;

    my $operations_service = GrpcSandbox::PB::Google::Longrunning::Operations->new(
        $self->{server},
        credentials => $self->{credentials},
    );
    my $req = GrpcSandbox::PB::Google::Longrunning::GetOperationRequest->new({
        name => $name,
    });
    my $call = $operations_service->GetOperation(argument => $req);
    my $res = $call->wait;
    return $res->get_response, $res->get_done;
}

Blockメソッドの実装

Blockメソッドは受け取った待ち時間分、実際にsleepしてレスポンスを返すというサーバ側の実装になっていますが、ここではあまり関係ないのでエラーを返すときの例として紹介します。

実は->waitはwantarrayでコンテキストに応じて返り値が変わるようになっており、リストコンテキストで受け取る場合にはレスポンスとstatusを返します。 このstatusというのはGrpc::XSの実装によるとcode, details, metadataというキーを持つhashrefが返され、このキーの順番にgoogle.rpc.Statusのcode, message, detailsに対応します(details→messageなので注意)。

sub block_error {
    my ($self, $delay, $content) = @_;

    my $req = GrpcSandbox::PB::Google::Showcase::V1beta1::BlockRequest->new({
        response_delay => { seconds => $delay },
        error          => {
            code    => GrpcSandbox::PB::Google::Rpc::Code::UNKNOWN,
            message => 'unknown error',
        },
    });
    my $call = $self->service->Block(argument => $req);
    my ($res, $status) = $call->wait;
    return {
        code    => $status->{code},
        details => $status->{details},
    };
}

最後にgRPCサーバと通信するテストを書きました。 動かすと裏で立ち上がっているGAPIC Showcaseのコンテナに対して通信します。

% docker-compose exec app bash
root@c271acf8b99d:/app# perl t/echo_service.t
# Subtest: echo
    ok 1
    ok 2
    1..2
ok 1 - echo
# Subtest: expand
    ok 1
    1..1
ok 2 - expand
# Subtest: collect
    ok 1
    1..1
ok 3 - collect
# Subtest: chat
    ok 1
    1..1
ok 4 - chat
# Subtest: paged_expand
    ok 1
    ok 2
    ok 3
    ok 4
    1..4
ok 5 - paged_expand
# Subtest: wait
    ok 1
    1..1
ok 6 - wait
# Subtest: block
    ok 1
    ok 2
    1..2
ok 7 - block
1..7

gapic-showcase_1  | 2021/02/06 19:36:44 Received Unary Request for Method: /google.showcase.v1beta1.Echo/Echo
gapic-showcase_1  | 2021/02/06 19:36:44     Request:  content:"hello"
gapic-showcase_1  | 2021/02/06 19:36:44     Returning Response: content:"hello"
gapic-showcase_1  | 2021/02/06 19:36:44
gapic-showcase_1  | 2021/02/06 19:36:44 Received Unary Request for Method: /google.showcase.v1beta1.Echo/Echo
gapic-showcase_1  | 2021/02/06 19:36:44     Request:  content:"world"
gapic-showcase_1  | 2021/02/06 19:36:44     Returning Response: content:"world"
gapic-showcase_1  | 2021/02/06 19:36:44
gapic-showcase_1  | 2021/02/06 19:36:44 Server Stream for Method: /google.showcase.v1beta1.Echo/Expand
gapic-showcase_1  | 2021/02/06 19:36:44     Receiving Message:  content:"hello world"
gapic-showcase_1  | 2021/02/06 19:36:44
gapic-showcase_1  | 2021/02/06 19:36:44 Server Stream for Method: /google.showcase.v1beta1.Echo/Expand
gapic-showcase_1  | 2021/02/06 19:36:44     Sending Message:  content:"hello"
gapic-showcase_1  | 2021/02/06 19:36:44
gapic-showcase_1  | 2021/02/06 19:36:44 Server Stream for Method: /google.showcase.v1beta1.Echo/Expand
gapic-showcase_1  | 2021/02/06 19:36:44     Sending Message:  content:"world"
<snip>

まとめ

これでPerlでgRPCでの一通りの通信はできました。思った以上にGoogle::ProtocolBuffers::DynamicとGrpc::XSの出来は良く、gRPC Transcodingに頼らずにgRPCで通信するのも選択肢としてはありかもしれません。

ただし動的なスタブコードを使って実装していくのは大変で、protoファイルを見ながら対応しているパッケージをちまちまと書いていく必要がありました。

Goでのprotoc-gen-goを使ったスタブコード生成をしてエディタの補完が効く快適な開発体験と比べると、PerlでもgRPCで通信するのはやっぱり辛いけどなんとかできる状態にはなっています。(プロダクションで使っている事例があれば教えてください)

attack and deference形式のCTFにオンラインで参加した。dodododoは19位。

sshできるサーバが1台与えられて、そこで8つのサービスを正しく動かしつつ、攻撃と防御を行う。
flagは運営からサービスが正しく動いているかどうかの確認と一緒に送られてくる。例えば秘密のメモアプリみたいなのがあったとして、正規の方法だとメモの閲覧にはパスワードが必要だけど、サービスに残された脆弱性を使うと任意のメモを見られるになればflagを入手して提出することで攻撃できる。
サービスはxinetd経由で起動するようになっていて、サービスの脆弱性を潰すためバイナリを書き換えたり、途中にバリデーション用のスクリプトを挟んだりしてflagを持ち出されないように防御できる。

このCTF専用のサービス一覧/参加チーム取得やフラグ提出用のクライアントがあって、それを使うと手軽に攻撃の自動化ができる。 事前にサンプル が渡されたのだけど、結構ミスっていて困っていた。事前にテストして欲しい……

fantasticiot

% file ./fantasticiot
./fantasticiot: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, for GNU/Linux 3.2.0, BuildID[sha1]=baa3e0fa48be4715a10784c2dd5e7d3adb5d9181, not stripped

冷蔵庫サービス。static linkされていて一瞬ぎょっとするけど、中身は単純にJSON経由で冷蔵庫に入れたりすることができるサービス。flagはsetflagで保存されたflag。

• setflag
  • {"token": "A", "flag": "B", "id": "2", "service": "flag", "op": "setflag"}
  • flag/1 に書き込む
• getflag
  • {"token": "A", "id": "1", "service": "flag", "op": "getflag"}
  • flag/1 から取得する
  • ただし正しいtokenである必要がある
• addfridge
  • {"content": "AAAAAAAAAA", "item": "1", "service": "fridge", "op": "addfridge"}
  • fridge/1 に書き込む
• getfridge
  • {"item": "1", "service": "fridge", "op": "getfridge"}
  • fridge/1 から取得する

脆弱性

• getfridgeの際にserviceを flag に指定することでディレクトリを変更できる
• getfridgeの際にitemを ../flag/1 にすることでディレクトリを変更できる

こういう雑なバリデータを挟むことで回避できる。

import sys
import json

src = sys.stdin.readline()

try:
    data = json.loads(src)
    if data['op'] == 'getfridge':
        assert data['service'] == 'fridge'
        assert '/' not in data['item']
    sys.stdout.write(src)
except:
    pass

• strncmpにbackdoorが仕掛けられている

static linkされているのはこういうことだったのか！上位チームでも意外と気づかなかったチームが結構いた。

つまり、getflagの際にtokenを victor に指定すればtokenチェックが問答無用に突破可能。

def exp(s, flag_id):
    payload = {
        "service": "flag",
        "op": "getflag",
        "id": flag_id,
        "token": "victor",
    }
    s.send(json.dumps(payload) + '\n')
    return json.loads(s.recvuntil('\n'))['flag']

hero_text_adventure

% file ./hero_text_adventure
./hero_text_adventure: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=98aac0bf05483d6328b1640625404c533c785999, not stripped
% ./hero_text_adventure
Hello superhero, are you continuing your previous adventure? (y/N)
n
Welcome to the beta test of the Marvel Super Hero text adventure!
Enter your name:
test
Pick a character
1) Star Lord
2) Dr Strange
3) wanda maximoff
4) Hulk
5) Thor
1
test, what would you like to do?
1) BATTLE!
2) buy weapon
3) equip weapon
4) give weapon a new name
5) load game
6) exit
6
Exiting. Save game? (y/N)
y
enter a password to protect your save file
secretpassword!
id of your adventure: 7906397325484763355

アドベンチャーゲーム。戦ったり、武器を買ったり、データをロード/セーブできる。flagはセーブされているデータのname部分。

脆弱性

• weaponのhandlerのアドレス書き換え
  • 1) BATTLE! のときに任意のアドレスに対して飛べるようになる
  • readlineの最初(0x400C8C)に飛ぶことで、bssのプレイヤー名のあるアドレス(0x603240)以降の書き換えができる
  • そこから装備中の武器のアドレスを書き換えると、 4) give weapon a new name から任意のアドレスへの書き込みができるようになる
  • GOTにあるstrcmpをstrchrに書き換えるとデータのロード時のパスワードチェックで、strcmpが strchr("real_password", "input") になり、これはNULLを返すので任意のデータをロードできるようになりflagが入手できる

exploit: hero_text_adventure · GitHub

防御に関しては、give weapon a new nameのときのreadlineが36バイト読み込むのを32バイトだけ読み込むようにバイナリを変更した。

感想

自分の現在の順位よりも上のチームにしか攻撃できない(flagの提出もできず、サーバへのアクセスも遮断されている)ようになっていて珍しいルールだった。よくあるA&D形式のCTFだと防御がボロボロだと上位チームに攻撃されて、点数が減る一方で最後までやる気がなくなってしまうのだけど、これならまだ最後までできる。
一見よいルールに見えるのだけど、順位をわざと下げて攻撃対象を増やして、一度に大量の得点を取得することが可能で(もちろん攻撃が塞がれてなければだけど)割と入れ替わりが激しく、崩壊していた気がする。

今回はRuCTFEのようにVPNの提供はなく、サーバが与えられて手元から他チームに攻撃するときはsocks経由でやってくれ、というかんじだったので運営のことを考えると準備の手間をあまり考える必要なく、これなら手軽にA&D形式のCTFを開催できるのではという気がした。
ただチェックシステムを準備するのが大変という話はありそうだけど、ちょっと調べたらRuCTFEで使われているコードが公開されていた。A&D形式のCTF増えて欲しい。

github.com

speakerdeck.com

トークの内容はTest2の導入から便利情報を紹介したりしました。少しでもTest2使う人が増えるといいですね。

スライド中にも触れていますが、基本的にはTest2に移行するにあたってはTest2::Plugin::UTF8を使うようにすれば大丈夫かなと思います。

一部Test::ClassのハックをTest2に対応するといった特殊な例も紹介しました。スライドでは時間の都合上省いたのですが、Test::Classは意外と扱いが難しく、テストファイルから読み込まれるモジュールでTest::Moreを直接使っていると$TODOが動かなくなるというケースもありました。Test::Moreのokを直接呼んでいる場合はTest2::APIのcontextで書き換える必要があります。

また、Test::Warningsでテスト中で警告が出ていたらfailする機能(Test::Builder::done_testingを書き換えている lib/Test/Warnings.pm - metacpan.org)が動かなくなっていることに関してはTest2::Plugin::NoWarningsを使うことにより代用することができます。

Test2::Plugin::NoWarnings - Fail if tests warn - metacpan.org

参加者の皆様並び運営スタッフの皆様お疲れ様でした。次のYAPCは沖縄で開催するとのことで楽しみにしています。

今年もid:nanuyokakinuさんによる年賀状CTFが開催されていたので参加した．
reversing問題が全部で3問．すべて解くと最後のフラグにAmazonのギフト券が書いてあり，お年玉が貰える．今年はなんと0x1337円．ありがとうございました :)

nanuyokakinu.hatenablog.jp

以下，解いた問題のwriteup．

stage1

% file stage1.exe
stage1.exe: PE32+ executable for MS Windows (console) Mono/.Net assembly

64bitのPE．IDA Pro Freeが使えないのでHopperを使って読んだ．ただし，静的解析の妨害として，文字列がエンコードされているので，x64dbgというデバッガで動かしながら確認していった．

notepad.exeのプロセスのメモリをWriteProcessMemoryで書き換えている．ダンプするとまたPEが出てくるのでそれらしい処理をしているところを見ると，HappyNewYear2017を鍵として暗号化したものがERV5vdff++FakEbRj0z8UyhZPPBYLLPm5xYAeVPPKsGlvRzPH4Bq+o1tZQB2wgznになればよいらしい．
stage1.exeに同様の___ENCRYPTKEY___が鍵の復号処理があるので，それを流用した．

# -*- coding: utf-8 -*-
import base64
import struct

p = lambda x: struct.pack('<I', x)
u = lambda x: struct.unpack('<I', x)[0]
u4 = lambda x: [u(x[i:i+4]) for i in range(0, len(x), 4)]

password = u4(base64.b64decode('ERV5vdff++FakEbRj0z8UyhZPPBYLLPm5xYAeVPPKsGlvRzPH4Bq+o1tZQB2wgzn'))
enckey = u4('HappyNewYear2017')

length = len(password)
blocknum = 52 / length + 6

block = password[0]

i_1 = blocknum * 0x9e3779b9
i_1 &= 0xffffffff

for _ in range(blocknum):
    i_2 = (i_1 >> 2) & 3
    for j in range(length-1, -1, -1):
        c = password[j-1]

        edx = (c >> 5) ^ ((block << 2) & 0xffffffff)
        r8d = (block >> 3) ^ ((c << 4) & 0xffffffff)
        ecx = edx + r8d
        ecx &= 0xffffffff

        edx = block ^ i_1
        r8d = enckey[(j & 3) ^ i_2] ^ c

        edx += r8d
        edx &= 0xffffffff
        ecx ^= edx
        eax = password[j]
        eax -= ecx
        eax &= 0xffffffff
        d = eax

        password[j] = d
        block = d

    i_1 -= 0x9e3779b9
    i_1 &= 0xffffffff

print ''.join([p(x) for x in password])

NYC{L0gg1ng_Cl1pb04rd_w17h_Dll_1nj3c710n})

notepad.exeに対して，dll injectionを行い，その中でクリップボードのデータからフラグチェックを行うものだったらしい．

stage2

WebAssembly!! wasmファイルが同梱されていて，フラグチェックがWebAssembly上で行われる．ブラウザ上で動かす場合，Chromeならchrome://flags/#enable-webassemblyから有効にできる．

まずはwasmをwastに変換して読み始める． https://github.com/WebAssembly/wabt にあるwasm2wastを使うと変換できる．命令セットについては， https://github.com/WebAssembly/design/blob/master/BinaryEncoding.md を参照．

main関数まわりを読んでみると，スタックに引数を積んでいきながら命令を実行していくスタックマシンのようなかんじ．ローカル変数は関数に渡された引数，関数内で使っている変数という順番に番号が振られる．

stage2.htmlを見ると，main関数にコマンドライン引数として比較される文字列を渡している． main(func 28)を見ると，2つの引数argc, argvを持っていることが分かる．コード中に*(argv+4)のような処理があるので合っているはず．

  (func (;28;) (type 1) (param i32 i32) (result i32)
    (local i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32 i32)
    block i32  ;; label = @1
      get_global 9
      set_local 47
      get_global 9
      i32.const 32
      i32.add
      set_global 9
      get_global 9
      get_global 10
      i32.ge_s
      if  ;; label = @2
        i32.const 32
        call 3
      end
      i32.const 0
      set_local 12
      get_local 0
      set_local 23
      get_local 1
      set_local 34
      get_local 34
      set_local 44
      get_local 44
      i32.const 4
      i32.add
      set_local 45
      get_local 45
      i32.load
      set_local 2
      get_local 2
      call 41
      set_local 3
      get_local 3
      set_local 42
      get_local 42
      set_local 4
      get_local 4
      i32.const 46
      i32.ne
      set_local 5
      get_local 5
      i32.eqz
      if  ;; label = @2
        get_local 42
        set_local 6
        get_local 6
        i32.const 1
        i32.add
        set_local 7
        get_local 7
        i32.const 1
        call 52
        set_local 8
        get_local 8
        set_local 41
        get_local 41
        set_local 9
        get_local 34
        set_local 10
        get_local 10
        i32.const 4
        i32.add
        set_local 11
        get_local 11
        i32.load
        set_local 13
        get_local 9
        get_local 13
        call 42
        drop
        i32.const 0
        set_local 43
        loop  ;; label = @3
          block  ;; label = @4
            get_local 43
            set_local 14
            get_local 42
            set_local 15
            get_local 14
            get_local 15
            i32.lt_u
            set_local 16
            get_local 16
            i32.eqz
            if  ;; label = @5
              br 1 (;@4;)
            end
            get_local 43
            set_local 17
            get_local 41
            set_local 18
            get_local 18
            get_local 17
            i32.add
            set_local 19
            get_local 19
            i32.load8_s
            set_local 20
            get_local 20
            i32.const 255
            i32.and
            set_local 21
            get_local 21
            i32.const 255
            i32.xor
            set_local 22
            get_local 22
            i32.const 255
            i32.and
            set_local 24
            get_local 19
            get_local 24
            i32.store8
            get_local 43
            set_local 25
            get_local 41
            set_local 26
            get_local 26
            get_local 25
            i32.add
            set_local 27
            get_local 27
            i32.load8_s
            set_local 28
            get_local 28
            call 27
            set_local 29
            get_local 29
            call 3
            get_local 43
            set_local 30
            get_local 41
            set_local 31
            get_local 31
            get_local 30
            i32.add
            set_local 32
            get_local 32
            get_local 29
            i32.store8
            get_local 43
            set_local 33
            get_local 33
            i32.const 1
            i32.add
            set_local 35
            get_local 35
            set_local 43
            br 1 (;@3;)
          end
        end
        get_local 41
        set_local 36
        get_local 42
        set_local 37
        get_local 36
        i32.const 1144
        get_local 37
        call 37
        set_local 38
        get_local 38
        i32.const 0
        i32.ne
        set_local 39
        get_local 39
        i32.eqz
        if  ;; label = @3
          i32.const 1195
          call 49
          drop
          i32.const 1
          set_local 12
          get_local 12
          set_local 40
          get_local 47
          set_global 9
          get_local 40
          return
        end
      end
      i32.const 1191
      call 49
      drop
      i32.const 0
      set_local 12
      get_local 12
      set_local 40
      get_local 47
      set_global 9
      get_local 40
      return
    end)

これだと読みにくいので，擬似コードに直すスクリプトを書いて変換して読んだ．

@1: {
  l[47] = g[9]
  g[9] = g[9] + 32
  if g[9] >= g[10] {
    call 3(32)
  }
  l[12] = 0
  l[23] = l[0]
  l[34] = l[1]
  l[44] = l[34]
  l[45] = l[44] + 4
  l[2] = *l[45]
  call 41(l[2]) # strlen
  l[3] = RETVAL
  l[42] = l[3]
  l[4] = l[42]
  l[5] = l[4] != 46 # 入力は46文字
  if l[5] == 0 {
    l[6] = l[42]
    l[7] = l[6] + 1
    call 52(l[7], 1) # バッファの確保？
    l[8] = RETVAL
    l[41] = l[8]
    l[9] = l[41]
    l[10] = l[34]
    l[11] = l[10] + 4
    l[13] = *l[11]
    call 42(l[9], l[13]) # 確保したバッファに文字列をコピー？
    drop
    l[43] = 0
    loop@3: {
      @4: {
        l[14] = l[43]
        l[15] = l[42]
        l[16] = l[14] < l[15]
        if l[16] == 0 {
          br (;@4;)
        }
        l[17] = l[43]
        l[18] = l[41] # 渡された文字列
        l[19] = l[18] + l[17]
        l[20] = *l[19]
        l[21] = l[20] & 255
        l[22] = l[21] ^ 255
        l[24] = l[22] & 255
        *l[19] = l[24]
        l[25] = l[43]
        l[26] = l[41]
        l[27] = l[26] + l[25]
        l[28] = *l[27]
        call 27(l[28]) # 変換
        l[29] = RETVAL
        l[30] = l[43]
        l[31] = l[41]
        l[32] = l[31] + l[30]
        *l[32] = l[29]
        l[33] = l[43]
        l[35] = l[33] + 1
        l[43] = l[35]
        br (;@3;)
      }
    }
    l[36] = l[41]
    l[37] = l[42]
    # 
    call 37(l[36], 1144, l[37]) # strncmp
    l[38] = RETVAL
    l[39] = l[38] != 0
    if l[39] {
      call 49(1195) # good
      drop
      l[12] = 1
      l[40] = l[12]
      g[9] = l[47]
      return l[40]
    }
  }
  call 49(1191) # bad
  drop
  l[12] = 0
  l[40] = l[12]
  g[9] = l[47]
  return l[40]
}

func 27:

@1: {
  l[8] = g[9]
  g[9] = g[9] + 16
  if g[9] >= g[10] {
    call 3(16)
  }
  l[1] = l[0]
  l[2] = l[1]
  call 26(l[2], 12, 2)
  l[3] = RETVAL
  l[1] = l[3]
  l[4] = l[1]
  call 26(l[4], 34, 1)
  l[5] = RETVAL
  l[1] = l[5]
  l[6] = l[1]
  g[9] = l[8]
  return l[6]
}

func 26:

@1: {
  l[31] = g[9]
  g[9] = g[9] + 16
  if g[9] >= g[10] {
    call 3(16)
  }
  l[23] = l[0]
  l[24] = l[1]
  l[25] = l[2]
  l[27] = l[23]
  l[28] = l[27] & 255
  l[29] = l[25]
  l[3] = l[28] >> l[29]
  l[4] = l[23]
  l[5] = l[4] & 255
  l[6] = l[3] ^ l[5]
  l[7] = l[24]
  l[8] = l[7] & 255
  l[9] = l[6] & l[8]
  l[10] = l[9] & 255
  l[26] = l[10]
  l[11] = l[23]
  l[12] = l[11] & 255
  l[13] = l[26]
  l[14] = l[13] & 255
  l[15] = l[12] ^ l[14]
  l[16] = l[26]
  l[17] = l[16] & 255
  l[18] = l[25]
  l[19] = l[17] << l[18]
  l[20] = l[15] ^ l[19]
  l[21] = l[20] & 255
  l[23] = l[21]
  l[22] = l[23]
  g[9] = l[31]
  return l[22]
}

後半に表われる1144や1195, 1191はデータを参照している．

  (data (i32.const 1024) "\04\04\00\00\05\00\00\00\00\00\00\00\00\00\00\00\01\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\02\00\00\00\03\00\00\00\d8\06\00\00\00\04\00\00\00\00\00\00\00\00\00\00\01\00\00\00\00\00\00\00\00\00\00\00\00\00\00\0a\ff\ff\ff\ff\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\04\04\00\00\8b\9c\da\90\c8\f0\d3\e5\d0\d0\f0\86\d3\87\94\88\e5\83\c7\88\87\87\c1\86\88\e5\d1\f0\88\c9\f0\d1\94\88\f4\83\e0\f0\d1\f0\e4\e0\f4\83\c2\84\00bad\00good"))

手軽にデバッグするがないか探していたら，importされているabortStackOverflowを使うとabortのメッセージで値をリークできた．

例えば，ローカル変数28が文字列への参照だったときに，その先頭1バイトを確認する場合は以下のコードを追加して，wast2wasmでwasmに変換して実行する．

get_local 28
i32.load8_u
call 3

入力を変換した後の結果が\x8b\x9c\xda\x90\xc8\xf0\xd3\xe5\xd0\xd0\xf0\x86\xd3\x87\x94\x88\xe5\x83\xc7\x88\x87\x87\xc1\x86\x88\xe5\xd1\xf0\x88\xc9\xf0\xd1\x94\x88\xf4\x83\xe0\xf0\xd1\xf0\xe4\xe0\xf4\x83\xc2\x84になれば正解．
1文字ずつ総当たりして求めた．

# -*- coding: utf-8 -*-

def func26(c, x, y):
    A = ((c >> y) ^ c) & x
    return (c ^ A) ^ (A << y) & 0xff

def func27(c):
    return func26(func26(c, 12, 2), 34, 1)

answer = '\x8b\x9c\xda\x90\xc8\xf0\xd3\xe5\xd0\xd0\xf0\x86\xd3\x87\x94\x88\xe5\x83\xc7\x88\x87\x87\xc1\x86\x88\xe5\xd1\xf0\x88\xc9\xf0\xd1\x94\x88\xf4\x83\xe0\xf0\xd1\xf0\xe4\xe0\xf4\x83\xc2\x84'

flag = ''
for i in range(46):
    for c in range(0x20, 0x7f):
        if (ord(answer[i])) == func27(c ^ 0xff):
            flag += chr(c)
            break
print flag

NYC{W3b4ss3mbly_4nd_llvm_4r3_V3ry_1n73r3571ng}

stage3

dlangバイナリ．Hopperにはdlangのdemangle機能がないので，objdump --demangle=dlang --sym stage3の結果を見ながら解析する．
stage1と同様に，この問題でも文字列がエンコードされているので，デバッガで動かしながら確認していくとhttps://userstream.twitter.com/1.1/user.jsonという文字列やstage3.send_dmという関数があるので，Twitterに関連した問題だと分かる．

DMを経由してコマンドを実行するC2サーバのような動作をしている．
.dataセクションにOAuthのconsumer keyとaccess tokenだけではなく，consumer secretとaccess token secretが残っているのでこれを利用すると，@mytyl_nyctfのDMの内容を見ることができる．@tyltyl_nyctfとDMでやりとりされており，その内容がコマンドの実行結果となっている．

コマンド，実行結果は以下の手順で暗号化されている．

• zlibで圧縮
• RC4で暗号化 (key=Thank you for playing! Almost there!)
• カスタムテーブルを持ったBase64でエンコード (table=TXyU9lM5VfHkRS0YgvK4hcnb~CEIFBQ7r3zdAqO6DNe2p8sxmtL_JuGa1joZWiP-w)

逆の手順を行うことで復号することができる．カスタムBase64，RC4というとDaserfっぽい．

import base64
import string
import zlib
from Crypto.Cipher import ARC4

transtable = string.maketrans(
    'TXyU9lM5VfHkRS0YgvK4hcnb~CEIFBQ7r3zdAqO6DNe2p8sxmtL_JuGa1joZWiP-w',
    'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='
)
rc4_key = 'Thank you for playing! Almost there!'

enc = [
    'D7puoyfhNkq6zCko6gRw',
    'D78ZUUn0eWXadhnHJp3tF7E_3Yg~oAvG~jY6f2nWK8nyixt-Ax8~ifbWeEgP7V1W1Q0lbvYmZaIIX1_x7UhB9tdzgVIHtUeQbNjODzO15A45sNVlKMN5jPZ9Ra30l6D5LOyUv_6I5y1lcglgk4PH1U3TFpZE',

    'D7suzudHbRRLnhE1cZTeZxcnPWf8Xu1Ynmww',
    open('encflag', 'r').read(),
]

for x in enc:
    x = x.translate(transtable)
    x = base64.b64decode(x)
    x = ARC4.new(rc4_key).decrypt(x)
    x = zlib.decompress(x)
    print x

ls -la
total 5152
drwxr-xr-x 1 vagrant vagrant     136 Dec 31 16:37 .
drwxr-xr-x 1 vagrant vagrant     306 Dec 31 16:28 ..
-rw-r--r-- 1 vagrant vagrant    6980 Dec 31 16:33 flag.jpg
-rwxr-xr-x 1 vagrant vagrant 5264181 Dec 31 16:09 stage3

base64 ./flag.jpg
/9j/4AAQSkZJRgABAQEASABIAAD/4QCMRXhpZgAATU0AKgAAAAgABgEGAAMAAAABAAIAAAESAAMA
...

デコードするとギフト券番号が書いてある画像が出てくる．