1     Создание цифровой подписи с помощью RSA

Цифровая подпись позволяет гарантировать две вещи: авторство (сообщение пришло именно от владельца ключа) и целостность (сообщение не было изменено по пути).

Создадим подпись, проверим ее валидность

Замечание: При шифровании использвется открытый ключ, чтобы данные мог прочитать только владелец закрытого. А при создании подписи всё наоборот: используется закрытый ключ, чтобы любой мог проверить подлинность с помощью открытого ключа.

1     Шифрование файлов с помощью RSA в OpenSSL

RSA остается одним из самых востребованных алгоритмов асимметричного шифрования, обеспечивая безопасность данных в вебе, цифровых подписях и VPN-туннелях.
Однако для многих разработчиков содержимое файлов ключей остается «черным ящиком».
С помощью OpenSSL разберем внутреннюю структуру RSA-ключей на уровне байтов и пройдем полный цикл от генерации пары до расшифровки сообщения.

2     Создание пары ключей

Создадим закрытый ключ:

❯ openssl genpkey -algorithm RSA -out privatekey.pem -pkeyopt rsa_keygen_bits:1024

Извлекаем открытый ключ из закрытого ключа:

❯ openssl rsa -pubout -in privatekey.pem -out publickey.pem

1     Шифрование файлов с помощью AES в OpenSSL

Рассмотрим как зашифровать и дешифровать текстовый файл алгоритмом с помощью OpenSSL и алгоритма AES-256-CBC.
Можно использовать два подхода: с явным ключом и IV или через пароль с PBKDF2, который автоматически генерирует ключ и вектор инициализации из пароля и случайной соли.

2     Шифрование

Создадим небольшой текстовый файл для последующего шифрования:

❯  echo "Encrypt this message using OpenSSL now" > message.txt

Проверим содержимое файла:

❯ cat message.txt | xxd

00000000: 456e 6372 7970 7420 7468 6973 206d 6573  Encrypt this mes
00000010: 7361 6765 2075 7369 6e67 204f 7065 6e53  sage using OpenS
00000020: 534c 206e 6f77 0a                        SL now.

1     Как Git управляет изменениями

Git - это контентно-адресуемая система хранения: все данные хранятся в виде объектов внутри каталога .git.
Каждый объект в Git имеет свой хеш, по для его идентификации.

Разберем, как знакомые команды используют структуру Git для выполнения различных операций.

Проводить эксперименты будем на репозитории httpexpect с тегом v2.16.0

1     Как запустить GitLab Runner на Synology NAS

GitLab Runner можно запускать не только в облаке, но и на локальных устройствах. Один из самых удобных вариантов — использовать NAS для выполнения CI/CD-пайплайнов.

Такой подход имеет несколько преимуществ: NAS работает круглосуточно, поэтому Runner всегда доступен; вы не расходуете минуты бесплатного плана GitLab; а выполнение задач происходит прямо в вашей локальной сети, что повышает скорость и контроль.

В моем NAS основной способ запуска приложений - запуск приложения в контейнере через docker-compose. Поэтому этот способ подходит не только для NAS.

Будем настраивать на Synology DS423+.

1     Как получить актуальную структуру БД после миграций

При частых изменениях структуры базы данных со временем накапливается множество файлов миграций.
Каждая из них описывает только отдельное изменение — добавить колонку, изменить тип колонки, переименовать таблицу, удалить индекс и т.д.
Они могут быть реализованы по-разному - где-то в чистом SQL, где-то в Go-коде.
Вместе они образуют длинную цепочку, и уже не так просто понять, как выглядит база в итоге.
Особенно если проект развивается быстро или над ним работает несколько команд.

Ситуация усложняется, если в проекте много сервисов, и у каждого своя схема и свой набор миграций.
Знания о том, какая миграция к какой схеме относится, могут легко запутаться, и понять актуальную структуру каждой схемы становится сложнее.

Чтобы не тратить время на разбор всех схем и миграций вручную, написал небольшую утилиту, которая для каждого сервиса автоматически генерирует актуальную SQL-схему.

1     HTTP over SSH на Go

1.1     Задача

На удалённой машине работает веб-сервер, доступный только по адресу localhost и не принимающий подключения извне. Единственный способ подключиться к этой машине — через SSH.

Требуется реализовать в Go-приложении возможность отправлять HTTP-запросы к этому веб-серверу, используя SSH-туннелирование внутри самого приложения.

1     Подбор пароля к ZIP архиву через Hashcat

Цель: восстановить пароль архива.
Воспользуемся утилитой hashcat для поиска пароля по словарю и по шаблону.

2     Создание тестового архива с паролем

Создадим тестовый архив с секретным файлом flag.txt и установим пароль на архив:

# zip -e secret.zip flag.txt

Enter password:
Verify password:
  adding: flag.txt (stored 0%)

1     Цель

Иногда возникает потребность сделать бекап postgresql базы, используя подручные средста и накатить этот бекап на другую базу, например, для тестов.
Будем использовать утилиты pg_dump и pg_restore для достижения цели.

В зависимости от деталей задачи есть и другие варианты решения, например, с помощью подключение реплики базы или с помощью создание подписки.
Но эти варианты могут не работать, т.к. могут потребоваться права администратора для конфигурирования базы, которых может не быть при использовании облачной инфраструктуры.

Заодно вспомним как работать с docker, sql.

2     Создание БД в облаке

В качестве удаленной бд используем базу Neon на платформе Vercel.
Neon - это облачная база данных, совместимая с PostgreSQL, ориентированная на бессерверную архитектуру.

1     Библиотека Ebiten

Иногда нужно графически изобразить какаю-то симуляцию или процесс.
Основные требования - поддержка языка Go, т.к. вычисления производится на Go и простое использование.

Рассмотрим ebiten одну из самых полупярных библиотек для работы с графикой.
Основное применение ebiten - создание интерактивных 2D игр.

Воспользуемя библиотекой чтобы наривать какой-нибудь динамический процесс.

2     Множество Жюлиа

В качестве примера попробуем нарисовать множество Жюлиа.

Множество Жюлиа описывается уравнением
$J(f) = \left\{ z \in \mathbb{C} \mid \lim_{n \to \infty} |f^n(z)| \neq +\infty \right\}$

где $ f(x) = z^2 + c, c \in \mathbb{C} $

1     Как написать простой shellcode

Цель:

• Написать на языке assembler программу, которая запускает shell оболочку.
• Написать на языке c программу, которая читает shellcode из входного потока и выполняет этот код.

1     Исходные данные

Описание
Field is the goat, but what about…

Файлы
field-rules.zip

1     Исходные данные

Описание
You can try to pwn us, but my cousin already tried it and he says it’s impossible!

Файлы
task.zip

1     Исходные данные

Описание
I’ve recently started studying a new cooking book and I think I’ve found the best recipe ever.
Do you wanna read it? Ask my dear friend DNS!

Файлы
capture.pcapng

1     Исходные данные

Описание
My friend Marco recently dived into studying bitwise operators, and now he’s convinced he’s invented pseudorandom numbers!
Could you help me figure out his secrets?

Файлы
mind-blowing.py

TCP сервер
0.0.0.0:420

1     Исходные данные

Описание
Alice and Bob are playing a fun game, can you guess Alice’s favourite number too?

Файлы
my-favourite-number.py
output.txt

1     Как перехватить и расшифровать TLS-трафик curl?

1.1     Цель

Иногда в целях отладки хочется посмотреть содержимое https трафика.
Например, клиент с помощью cURL взаимодействует с публичный API сервера.
Но иногда что-то идет не так. Клиент не получает ответ, хотя сервер залогировал, что запрос был успешно выполнен и ответ был отправлен. Выглядит что где-то среди различных проксей и различных подсетей что-то теряется.
В этом случае можно попробовать записать сетевую активность между клиентом и сервисом в разных местах, расшифровать данные, сопоставить запросы и ответы и проверить не потерялось ли что-то.

1     Advent of Code 2024

Advent of Code 2024 успешно завершился!

Каждый день с 1 по 25 декабря открывались по 2 задачи.
Обычно первая задача простая, для понимания всех условий задачи.
Вторая - более сложная, с измененными условиями так, что решение из первой задачи уже не подходит и приходится сильно оптимизировать алгоритм решения или использовать совершено другой подход.

Первая половина заданий была относительно простой, в то время как для решения финальных задач потребовались подсказки.

В целом, это была отличная возможность вспомнить алгоритмы.

1     Цель

Для изучения ассемблера предлагается создать простой веб-сервер, который будет эмулировать базу данных key-value.

• Сервер должен поддерживать эндпоинты:
  • GET /{key} - получить значение по ключу key.
  • POST /{key} - сохранить значение из тела запроса по ключу key.
• Сервер должен поддерживать параллельную обработку запросов.
• Сервер должен хранить все данные на диске.
• Весь код сервера должен быть на ассемблере.

Т.к. писать код на ассемблере сложно и недостаточно комфортно, то допустимы упрощения.

1     AES-CBC - Padding Oracle Attack

Padding Oracle Attack — это криптографическая атака, которая эксплуатирует механизм паддинга в некоторых схемах шифрования, таких как CBC (Cipher Block Chaining), использующий симметричное шифрование, например AES. Она позволяет злоумышленнику расшифровывать или изменять данные, не зная ключа шифрования.

С помощью этой атаки можно:

• Расшифровать зашифрованное сообщение
• Зашифровать произвольное сообщение

1     LeetCode

Завершился челендж ежедневного решения задач на LeetCode на протяжении года (за исключением отпусков).

За год решил 707 задач. Из них: 261 - легкий уровень, 365 - средний уровень, 81 - сложный уровень.

В основном решал ежедневные задачи и среди “избранных” тем. Самые интересные темы: Trie, Dynamic Programming, Design.

Почти все задачи решены на языке C++.
Пробовал решать на Go. Go не подходит для алгоритмических задач, слишком ограничен. Язык C++ поддерживает намного больше концепций, позволяющих решить задачу более красиво и оптимальнее.

Решал задачи для подготовки к алгоритмическим секциям на интерью. Все секции успешно пройдены.
Больше не планирую заниматься решением задач на алгоритмы. Если хочется что-то порешать, то лучше попробовать CTF задачи. Это намного практичнее и разнообразнее.

Мой профиль: amyasnikov - LeetCode Profile

1     Alexander Myasnikov

Software Engineer

1.1     Links

• Email: myasnikov.alexander.s@gmail.com
• Telegram: t.me/amyasnikov
• LinkedIn: linkedin.com/in/amyasnikov
• GitHub: github.com/alexandermyasnikov
• GitLab: gitlab.com/amyasnikov

1     Исходные данные

Ссылка на задачу
Прометей 2077

Описание
Греческие боги наносят ответный удар.
Они забрали у всех пользователей интернета эмодзи 🔥 и запечатали его в надёжной таблице Sacred рядом с другими артефактами.
Герой с ником Prometheus решил выкрасть огонёк. Помогите ему и верните огонь в интернеты и переписки.

Форум
t-fire-oudjc9cv.spbctf.net

Исходный код форума
fire_64f7cd8.tar.gz

1     Исходные данные

Ссылка на задачу
Галера

Описание
Аутстафф-компания заманила разработчиков интересными задачами, а потом заперла их на настоящей галере, приковала к вёслам и отправила в плавание.
Освободите команду.

Приложение программы корпоративной лояльности: Galera_be1756d.ipa

Приложение
galera.zip

1     Исходные данные

Ссылка на задачу
crypto/wysi-prime

Файлы
wysi-prime.zip