TSG CTF 2023へ、一人チームrotationで参加しました。そのwrite-up記事です。

2024/01/27追記: 公式問題リポジトリが公開されました、多くの問題には公式writeupもあります: tsg-ut/tsgctf2023

2023/09/20(水) 23:40頃に、PDBファイルやELFファイル中のシンボル名の確認結果を追加しました。その確認中に「x86 PEビルド結果でIDAが正常に関数名を表示できているように見えるものの、そもそも先頭にアンダースコアが付与されている」と気付いたので、本記事タイトル等を修正しました。(以前の記事タイトル: IDAはx86 ELFとx64 PE/ELFで一部レジスタと同一シンボル名を無視するらしい)

先日開催されたSECCON 2023 Qualsのxuyao問題のバイナリをIDAで解析していると、シンボル情報を含むELFであり、明らかにユーザー定義の関数であるにも関わらず、IDAがとある関数を何故かsub_15B9とさもシンボル名が無いかのように表示しました。

終了後にTwitter(この表記を使い続けます)でぼやいていると、Arata氏から、Cソースで定義しているes関数がレジスタ名と衝突しているためIDAはシンボル名として使われなかったのでは、という情報をいただきました。

手元で実験してみたのですが、レジスタの名前と衝突するためIDAではシンボル名esが使われなかったようです。Ghidraやgdbなどではes関数と正しく表示されていました。

— Arata (@arata_nvm) September 18, 2023

確認してみると、少なくともx64 PEの場合やx86/x64 ELFの場合は、eax等の一部レジスタ名と同一であるシンボル名(=関数名やグローバル変数名)について、IDAは無視しました。なお、x86 PEの場合はビルド結果のPDB中のシンボル名が先頭にアンダースコアの付いた_eax等のシンボル名になってしまったため、結果は不明です。

防衛省サイバーコンテスト 2023(参加者間では「防衛省CTF」等とも呼ばれていました)へ参加しました。そのwrite-up記事です。

本コンテストは3回目の開催で、今回からコンテスト終了後はwrite-up等の公開が許可されています。なお、前回以前の募集ページも同一URLであり、以前の内容は現時点では閲覧不能のようです。参考として前回以前の募集時のInternet Archiveリンクを貼っておきます:

• 第1回(2021/03/14開催)募集時ページ
• 第2回(2022/08/21開催)募集時ページ

2023/08/08(火) 22:35頃に、「Analysis」問題、「Ladder」問題の解説と、「全体的な感想」を一部追記しました。

2023/08/29(火) 21:40頃に、アンケートメールが届いたことを追記しました。

2023/10/22(日) 06:30頃に、結果一覧ページで、今回分含め過去3回分すべてで上位5名が掲載されるようになっていたことを追記しました。