!Y11Han!

Task 1#

在GNU/linux或服务器上使用docker-compose在本地搭建Gitea

验证标准: 在宿主机能够通过 ssh -p <port> git@localhost -T 验证连接，或成功执行 git clone ssh://git@localhost:<port>/...

Task 2#

完成 SAST Rust 内核模块 的编译和运行

[加分项] CI/CD: 配置 GitHub Actions（或 GitLab CI），实现代码 Push 后自动构建 Docker 镜像并推送至镜像仓库 (Docker Hub / GHCR)

- [x]任务 1：找到并修复 tetris 模块中的 panic#

- [x]任务 2：加载 magic.ko，用 ioctl 触发 flag <=> Task 4#

- [x]任务 3：给这个仓库加上 CI/CD + 产出 OCI 镜像#

- [x]任务 4：给 tetris 模块加一个 debugfs 调试入口#

你可以继续改进的地方（加分项）#

这些不要求必须做，但很值得做：

• 把 ioctl 命令号做成共享头文件/绑定，避免用户态和内核态各写各的魔数。
• 给 scripts/run.sh 加一个“无 KVM 的降级开关”。
• 做一个 make test：本地一键跑 QEMU smoke test。 ===本地没做，CI 做了 ===
• 给仓库加上基本的格式化/静态检查入口（rustfmt/clippy/clang-format）。

以下按完成顺序

自动检测 KVM

qemu64 纯软件模拟，如果没有 KVM 就不能用-cpu host

busybox 官方仓库限制历史对象访问，已切换至 GitHub 镜像以保证可复现性#

panic fix

1
$ make build
2
...
3
\*\*\* Rust bindings generator 'bindgen' versions 0.66.0 and 0.66.1 may not
4
\*\*\* work due to a bug (https://github.com/rust-lang/rust-bindgen/pull/2567),
5
\*\*\* unless patched (like Debian's).
6
\*\*\*   Your version:     0.66.1
7
\*\*\* Please see Documentation/rust/quick-start.rst for details
8
\*\*\* on how to set up the Rust support.
9
BINDGEN rust/bindings/bindings_generated.rs
10
BINDGEN rust/uapi/uapi_generated.rs
11
...

1
 $ make run
2
...
3
panicked at 'called \`Result::unwrap() \` on an \` Err \` value: FromBytesWithNulError { kind: InteriorNul(4) }', /usr/share/cargo/registry/bindgen-0.66.1/codegen/mod.rs:717:71
4
make[3]: \*\*\* [rust/Makefile:464: rust/uapi/uapi_generated.rs] Error 101
5
make[3]: \*\*\* Deleting file 'rust/uapi/uapi_generated.rs'
6
make[3]: \*\*\* Waiting for unfinished jobs....
7
panicked at 'called \`Result::unwrap() \` on an \` Err \` value: FromBytesWithNulError { kind: InteriorNul(4) }', /usr/share/cargo/registry/bindgen-0.66.1/codegen/mod.rs:717:71
8
make[3]: \*\*\* [rust/Makefile:458: rust/bindings/bindings_generated.rs] Error 101
9
make[3]: \*\*\* Deleting file 'rust/bindings/bindings_generated.rs'
10
make[2]: \*\*\* [/home/y11han/woc2026-hello-from-skm/linux/Makefile:1320: prepare] Error 2
11
make[1]: \*\*\* [Makefile:248: \_\_sub-make] Error 2
12
make[1]: Leaving directory '/home/y11han/woc2026-hello-from-skm/linux'
13
make: \*\*\* [Makefile:31: linux/arch/x86_64/boot/bzImage] Error 1
14
...

内核强制调用了 bindgen，无法通过绕开在本地跑 bindgen，那么就指定 bindgen 版本为 0.65.1
$ cargo install bindgen-cli --version 0.65.1

拷贝虚空文件是何意味

1
$ ls src/*.ko
2
src/woc2026_hello_from_skm.ko

发现华点，不存在的 magic.ko，先注释掉了

加载magic.ko，用ioctl触发flag

上一步发现虚空拷贝 magic.ko 文件，$ git status --ignored 中有 deleted: src/magic.ko，说明 Task 2（magic ioctl）在当前仓库中已被移除。 magic 模块已被移除（或合并）， 当前仓库中 flag 触发路径已迁移至现有模块（tetris 或其 ioctl）
s3 说有问题先跳过，别急后面又call back

加上CI/CD + 产出OCI镜像

1
 docker pull ghcr.io/tamako0401/woc2026-hello-from-skm:latest
2
 docker run -it --rm ghcr.io/tamako0401/woc2026-hello-from-skm:latest

oh it works

1
name: woc2026 CI
2

3
on:
4
  push:
5
  pull_request:
6

7
permissions:
8
  contents: read
9
  packages: write
10

11
jobs:
12
  build:
13
    runs-on: ubuntu-22.04
14

15
    steps:
16
    - name: Checkout repository with submodules
17
      uses: actions/checkout@v4
18
      with:
19
        submodules: recursive
20
        fetch-depth: 0
21

22
    - name: Install system dependencies
23
      run: |
24
        sudo apt-get update
25
        sudo apt-get install -y \
26
          build-essential \
27
          clang-15 \
28
          lld \
29
          llvm-15 \
30
          libelf-dev \
31
          libssl-dev \
32
          bc \
33
          flex \
34
          bison \
35
          qemu-system-x86 \
36
          cpio
37

38
    - name: Install Rust toolchain
39
      run: |
40
        curl https://sh.rustup.rs -sSf | sh -s -- -y
41
        source $HOME/.cargo/env
42
        rustup toolchain install 1.88.0        # The Cargo Bool says: Edidion 2024 has been stabilized in the 1.85 release.
43
        rustup default 1.88.0                  # reference: https://doc.rust-lang.org/nightly/cargo/reference/unstable.html#edition-2024
44
        cargo install bindgen-cli --version 0.65.1
45

46
    - name: Build project
47
      run: |
48
        source $HOME/.cargo/env
49

50
        export PATH=/usr/lib/llvm-15/bin:$PATH
51
        export LLVM=1
52
        export LLVM_IAS=1
53
        export LLVM_VERSION=15
54
        clang --version
55

56
        make setup
57
        make build
58

59
    - name: Smoke test (boot kernel)
60
      run: |
61
        source $HOME/.cargo/env
62
        chmod +x scripts/run.sh
63

64
        timeout 30s ./scripts/run.sh -k linux -b busybox | tee qemu.log || true
65
        grep -q "Welcome to" qemu.log
66

67
    - name: Upload build artifacts
68
      uses: actions/upload-artifact@v4
69
      with:
70
        name: woc2026-build
71
        path: |
72
          linux/arch/x86_64/boot/bzImage
73
          busybox/rootfs.img
74
          src/*.ko
75
          tools/*.a
76

77
    - name: Log in to GitHub Container Registry
78
      if: github.event_name != 'pull_request'
79
      uses: docker/login-action@v3
80
      with:
81
        registry: ghcr.io
82
        username: ${{ github.actor }}
83
        password: ${{ secrets.GITHUB_TOKEN }}
84

85
    - name: Lowercase Repository Name
86
      id: lowercase_repo
87
      run: |
88
        echo "REPO_LOWER=${GITHUB_REPOSITORY,,}" >> $GITHUB_ENV
89

90
    - name: Build and push Docker image
91
      if: github.event_name != 'pull_request'
92
      uses: docker/build-push-action@v5
93
      with:
94
        context: .
95
        file: Dockerfile
96
        push: true
97
        tags: ghcr.io/${{ env.REPO_LOWER }}:latest

1
# Dockerfile
2

3
FROM alpine:latest
4

5
RUN apk add --no-cache qemu-system-x86_64 bash
6

7
WORKDIR /app
8

9
RUN mkdir -p linux/arch/x86_64/boot/
10
RUN mkdir -p busybox/
11

12
# 左边是CI构建产物路径,右边是容器内路径
13
COPY linux/arch/x86_64/boot/bzImage  linux/arch/x86_64/boot/bzImage
14
COPY busybox/rootfs.img              busybox/rootfs.img
15
COPY scripts/run.sh                  run.sh
16

17
RUN chmod +x run.sh
18

19
# 启动命令不带任何参数，使用默认的 ./linux 和 ./busybox
20
CMD ["./run.sh"]

1
# Makefile
2

3
# SPDX-License-Identifier: GPL-2.0
4

5
KDIR ?= ./linux
6
BDIR ?= ./busybox
7
TDIR ?= ./tools
8
SUBMODULE_DEPTH ?= 1
9
TARGET ?=
10
NCPU ?= $(shell nproc)
11

12
BZIMAGE := $(KDIR)/arch/x86_64/boot/bzImage
13
ROOTFS := $(BDIR)/rootfs.img
14
BUSYBOX_CONFIG := $(BDIR)/.config
15
BUSYBOX_BIN := $(BDIR)/busybox
16
BUSYBOX_INSTALL := $(BDIR)/_install
17

18
USERSPACE_PROG := play_tetris
19

20
ROOTFS_STAMP := .rootfs_stamp
21

22
.PHONY: all run build setup clean rebuild kernel busybox rootfs module module-clean module-install tools tools-clean tools-install repack-rootfs
23

24
all: run
25

26
build: kernel busybox $(ROOTFS) module-install tools-install repack-rootfs
27

28
rebuild: clean-build build
29

30
kernel: $(BZIMAGE)
31

32
$(BZIMAGE):
33
    @echo "Applying custom kernel configuration..."
34
    @cp qemu-busybox-min.config $(KDIR)/.config
35
    @echo "Building linux kernel..."
36
    @cd $(KDIR) && yes "" | make LLVM=1 CLIPPY=1 oldconfig
37
    @cd $(KDIR) && make LLVM=1 CLIPPY=1 $(TARGET) -j$(NCPU) || [ $$? -eq 141 ]
38

39
.PHONY: busybox-config
40

41
busybox-config:
42
    @echo "Configuring busybox..."
43
    @if [ ! -f $(BDIR)/.config ]; then \
44
        make -C $(BDIR) defconfig; \
45
        sed -i 's/# CONFIG_STATIC is not set/CONFIG_STATIC=y/' $(BDIR)/.config; \
46
        yes "" | make -C $(BDIR) oldconfig; \
47
    fi
48

49
busybox: busybox-config $(BUSYBOX_BIN)
50

51
$(BUSYBOX_BIN):
52
    @echo "Building busybox..."
53
    @cd $(BDIR) && make -j$(NCPU)
54
    @file $(BUSYBOX_BIN) | grep -q "statically linked" || (echo "Error: BusyBox is not statically linked!" && exit 1)
55

56
rootfs: $(ROOTFS)
57

58
$(ROOTFS): $(BUSYBOX_BIN) | $(BUSYBOX_INSTALL)
59
    @echo "Installing busybox..."
60
    @cd $(BDIR) && make install
61
    @echo "Configuring rootfs..."
62
    @scripts/config-rootfs.sh -b $(BDIR)
63
    @$(MAKE) repack-rootfs
64

65
$(BUSYBOX_INSTALL):
66
    @mkdir -p $(BUSYBOX_INSTALL)
67

68
MODULE_NAME := woc2026_hello_from_skm
69
MODULE_SRC := src
70
MODULE_KO := $(MODULE_SRC)/$(MODULE_NAME).ko
71

72
module: kernel
73
    @echo "Preparing Rust environment..."
74
    @$(MAKE) -C $(KDIR) LLVM=1 CLIPPY=1 prepare
75
    @echo "Building Rust kernel module..."
76
    $(MAKE) -C $(KDIR) M=$(PWD)/$(MODULE_SRC) LLVM=1 modules
77

78
module-clean:
79
    @echo "Cleaning Rust module..."
80
    $(MAKE) -C $(KDIR) M=$(PWD)/$(MODULE_SRC) clean
81

82
module-install: module
83
    @echo "Installing module to rootfs..."
84
    @mkdir -p $(BUSYBOX_INSTALL)/lib/modules
85
    @cp $(MODULE_KO) $(BUSYBOX_INSTALL)/lib/modules/
86
#    @cp $(MODULE_SRC)/magic.ko $(BUSYBOX_INSTALL)/lib/modules/
87
    @touch $(ROOTFS_STAMP)
88

89
tools: $(TDIR)/$(USERSPACE_PROG).c
90
    @echo "Building userspace program..."
91
    @gcc -static -o $(TDIR)/$(USERSPACE_PROG).a $(TDIR)/$(USERSPACE_PROG).c -Wall -Wextra
92

93
tools-clean:
94
    @echo "Cleaning userspace program..."
95
    @rm -f $(TDIR)/$(USERSPACE_PROG).a
96

97
tools-install: tools
98
    @echo "Installing userspace tools..."
99
    @cp $(TDIR)/$(USERSPACE_PROG).a $(BUSYBOX_INSTALL)/bin/$(USERSPACE_PROG)
100
    @cp $(TDIR)/$(USERSPACE_PROG).a $(BUSYBOX_INSTALL)/usr/bin/$(USERSPACE_PROG)
101
    @touch $(ROOTFS_STAMP)
102

103
repack-rootfs: $(BUSYBOX_INSTALL)
104
    @echo "Packing rootfs image..."; \
105
    ln -sf sbin/init $(BUSYBOX_INSTALL)/init; \
106
    cd $(BUSYBOX_INSTALL) && find . | cpio -o -H newc | gzip > ../rootfs.img; \
107
    touch $(ROOTFS_STAMP);
108

109
run: build
110
    @echo "Starting QEMU..."
111
    scripts/run.sh -b $(BDIR) -k $(KDIR)
112

113
setup:
114
    - SUBMODULE_DEPTH=$(SUBMODULE_DEPTH) scripts/setup.sh
115

116
clean-build:
117
    @echo "Cleaning build artifacts..."
118
    @rm -f $(BZIMAGE) $(ROOTFS) $(ROOTFS_STAMP)
119
    @rm -rf $(BUSYBOX_INSTALL)
120

121
clean: clean-build module-clean tools-clean
122
    @echo "Cleaning kernel..."
123
    @$(MAKE) -C $(KDIR) clean 2>/dev/null || true
124
    @echo "Cleaning busybox..."
125
    @$(MAKE) -C $(BDIR) clean 2>/dev/null || true

给 tetris 模块加一个 debugfs 调试入口

debugfs 目录：/sys/kernel/debug/tetris/
只读文件：state
内容包含：score / game_over / next_piece / current_piece / board(20x10 #/ .)

实现要点：
debugfs 的 state 读取走的是 kernel::debugfs::Writer（seq_file 单次输出），只读稳定；
/dev/tetris 和 debugfs 观察的是同一份 TetrisDeviceInner（通过在注册 miscdevice 时把 Arc<TetrisDeviceInner 存到 this_device 的 drvdata，然后 open 时取回 clone），所以 debugfs 读到的状态是真实的实时状态；
模块生命周期里持有 _debugfs: TetrisDebugFs，RAII 方式卸载时会自动删 debugfs 文件/目录。

运行时：
1.挂载 debugfs：
mount -t debugfs none /sys/kernel/debug
2.插入模块后读状态：
cat /sys/kernel/debug/tetris/state
3.同时用 /dev/tetris 操作，再读 debugfs：
echo a /dev/tetris（左移）
echo w /dev/tetris（旋转）
然后再 cat /sys/kernel/debug/tetris/state

Task 3#

s3在臭臭的地方找到了一个香香的PostgreSQL

据说里面藏了宝藏？但是好像跑不起来

name

password:123456

导入 Vmware Workstation 说明 PostgreSQL 进程根本没起来。但不要想着 systemctl start postgresql 肯定没那么简单

发现 postgresql 数据库目录属于用户 1145 确认这个数据库曾经活过，base 目录下每一个数字子目录都是一个数据库

16388 目录相对较大，藏 flag 的概率较高

初见端倪

sast@zwz /lib/postgresql/15$ sudo cat /var/lib/postgresql/15/main/base/16388/16389 | less 只有前半截，怎么会是呢？怀疑 cat 和 grep 被 \0 截断了

CCB查查表环节，十六进制不会骗人，确定字段被 TOAST

开始梳理表之间的关系

1
16388                # database OID
2
  |
3
  +--16389            # 主表 / 索引
4
  |
5
  +--pg_toast_???   # flag 后半截肯定还在16388目录下

走弯路，个人认为触发 TOSAST 会在同一时间修改多个文件

但实际上_vm 是可见性映射，_fsm 是空闲空间映射，这里不可能藏 flag。
转变思路，只在文件名为纯数字的文件里找 /续标识 /拜谢

后半截可能在>= 16389 的 relation

done

flag{W0w_#w3lc0me_2_SAST!}

Task 4#

0001在Task 2的内核放置了一个dev1ce作为小礼物

并留下了一个暗号 : 0x1337

你能在dmesg里找到她留下的秘密吗?

请使用 insmod /lib/modules/magic.ko

意外地发现：哎呀这不就是我们 Task2 的子任务 2 嘛
纯黑盒又不是不能做，自己把 magic.ko cp 到 busybox/_install/lib/modules/ 再重新打包

宿主机中 搓最小用户态，再 cp 进 rootfs

QEMU 中

done

flag{You_get_the_magic_of_kernel!!}

Task 5#

s3 精神状态堪忧，梦游时总想执行 sudo rm -rf /workshop/PPProject/*。作为运维组的正义使者，你需要利用 eBPF 技术，在内核层拦截该操作

推荐使用:

• Rust Aya

• Go cilium/ebpf

附加题的附加题：

• 那如果s3把文件夹先mv走再去删除呢？

• 如何通过 eBPF 监控并阻止针对该目录的 rename 操作

也许代码层面实现会比较困难，可以在验收的时候聊聊

Task 6#

此题是Task 2的附加题

在GitHub - f3rmata/woc2026-hello-from-skm 中使用DebugFS添加一个数据统计功能,并为仓库提交pr来进行验收