生活CTF

金盾獎 20 周年心得兼回顧

今年很榮幸能夠進去金盾決賽 感謝 隊友 Viivie Robin。

早上:

因為跟隊友們約 8 點到會場於是我早早就到了,但某個人搭錯車所以其實完全會合大概是 9:00 的事了
image.psd

到了會場後我們在場外等到報道時間,並且同時也跑去找認識的人聊天,當天同時也是交大放榜,恭喜隊友 Robin 備上交大 (希望我也可以上交大)

進到會場,聽了規則

規則如下:

  1. 可以用 AI
  2. 情境題大家都會解到
  3. 不能用通訊軟體
  4. 開提示會扣分
  5. 教學題載教學檔案也會扣分

比賽:

這場比賽因為可以用 AI 於是就有透過 AI 輔助我去解

那我有解出 1 - 2 題 Reverse 跟協助解出 Welcome 還有阿一題 Pwn(?
那以下是整隊沒人碰是我與 AI 一起看一起解的一題逆向 WriteUp

bootable game

首先題目給了個 efi 檔,那就無腦丟 ida pro (X
然後翻一翻看到 rdata 有神奇的東東

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
.rdata:0000000140006128 aUseArrowKeysTo:                        ; DATA XREF: _ModuleEntryPoint+B2C↑o
.rdata:0000000140006128                 text "UTF-16LE", 'Use Arrow Keys to move. Eat the * to grow!',0Dh,0Ah
.rdata:0000000140006180                 text "UTF-16LE", 0
.rdata:0000000140006182 asc_140006182   db 0Dh,0                ; DATA XREF: _ModuleEntryPoint+A52↑o
.rdata:0000000140006184 aGameOverFinalS:
.rdata:0000000140006184                 text "UTF-16LE", 0Ah
.rdata:0000000140006186                 text "UTF-16LE", 'GAME OVER! Final Score: ',0
.rdata:00000001400061B8 aPressAnyKeyToE_0:                      ; DATA XREF: _ModuleEntryPoint+AAE↑o
.rdata:00000001400061B8                 text "UTF-16LE", 'Press any key to exit...',0Dh,0Ah,0
.rdata:00000001400061EE asc_1400061EE   db 0Dh,0                ; DATA XREF: _ModuleEntryPoint+8DA↑o
.rdata:00000001400061F0 aCtfChallengeUn:
.rdata:00000001400061F0                 text "UTF-16LE", 0Ah
.rdata:00000001400061F2                 text "UTF-16LE", 'CTF Challenge Unlocked!',0Dh,0Ah,0
.rdata:0000000140006226 asc_140006226   db 'F',0                ; DATA XREF: _ModuleEntryPoint+8E7↑o
.rdata:0000000140006228 aOodKeyLocation:
.rdata:0000000140006228                 text "UTF-16LE", 'ood key location: ',0
.rdata:000000014000624E aFlag           db ')',0Dh,0Ah          ; DATA XREF: .rdata:0000000140006278↓o
.rdata:0000000140006251                 db 'Flag: ',0
.rdata:0000000140006258 off_140006258   dq offset a00010203040506+0CCh

你看的了什麼嗎?
恩 對 Flag 這個字串 當下我覺得怪怪的於是想說往上翻翻看有什麼東西然後就看到了

1
2
3
4
5
.rdata:00000001400060A8 byte_1400060A8  db 0E8h, 0F8h, 0E8h, 0D0h, 0FEh, 98h, 0EDh, 0E2h, 0F4h
.rdata:00000001400060A8                                         ; DATA XREF: _ModuleEntryPoint+97C↑o
.rdata:00000001400060B1                 db 0F8h, 0E5h, 9Fh, 0E0h, 98h, 0F4h, 0E6h, 9Fh, 0F8h, 9Ch
.rdata:00000001400060BB                 db 98h, 0F9h, 0F4h, 0EDh, 9Fh, 0EFh, 93h, 2 dup(9Dh), 0E9h
.rdata:00000001400060C5                 db 9Dh, 0D6h, 0

嗯 根據我看過的題目經驗總結下來 這應該是被 XOR 的東東

那我們有資料了 我們要怎麼推回去呢? 慢慢逆去找 key,不不太慢了,我想到 XOR 有個特性

data ^ key = encrypted
encrypted ^ data = key

所以我們可以透過已知明文去打

exploit:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
encrypted = bytes([
    0xE8, 0xF8, 0xE8, 0xD0, 0xFE, 0x98, 0xED, 0xE2, 0xF4,
    0xF8, 0xE5, 0x9F, 0xE0, 0x98, 0xF4, 0xE6, 0x9F, 0xF8, 
    0x9C, 0x98, 0xF9, 0xF4, 0xED, 0x9F, 0xEF, 0x93, 0x9D, 
    0x9D, 0xE9, 0x9D, 0xD6, 0x00
])

known_prefix = b"CSC{"

xor_key = bytes([encrypted[i] ^ known_prefix[i] for i in range(len(known_prefix))])

key_length = len(xor_key)
decrypted = bytes([encrypted[i] ^ xor_key[i % key_length] for i in range(len(encrypted))])

print(decrypted.decode('ascii', errors='ignore'))

在比賽途中 吃到了漢堡 + 飲料 + 薯條
但由於我在專心解題 所以薯條放到冷掉才吃掉 QwQ

下午(比賽結束後)

恩 比賽結束就是緊張刺激的頒獎典禮了,
首先公佈大專組的名次(只記得前三名的學校 後面知道學校但不知道排名):
第一名:交大
第二名:交大
第三名:交大

我心想:酷 交大霸榜誒

接著高中組公佈第三名的時候被唸到隊名時超開心的

然後感謝朋友拍的照片
PXL_20260109_084022610.RAW-01.COVER

接著就吃晚宴聊聊天 .w.