TSC CTF 2025 - write-up hsuan0223x's

Reverse#

What_Happened#

GDB 動態分析的題目
直接使用 x64dbg patch 然後讓他跳到 decrypt_flag 函式中擷取其中的 Flag 即可

Chill Checker#

1
// 解題腳本：
2
#include <stdio.h>
3

4
void find_input() {
5
    char target[] = "SGZIYIHW";
6
    char input[9]; // 最多 8 字元 + 結尾 '\0'
7
    int a2, result;
8

9
    for (int j = 0; j < 8; ++j) {
10
        a2 = j + 8;
11
        result = ((target[j] - 65 - (31 * a2 % 26) + 26) % 26) + 65;
12
        input[j] = result;
13
    }
14
    input[8] = '\0'; // 字串結尾
15
    printf("Correct input: %s\n", input);
16
}
17

18
int main() {
19
    find_input();
20
    return 0;
21
}

Pwn#

gamble_bad_bad#

填充字串讓他超過長度之後，獲取Flag

Misc#

Subdomain Hijacking#

~~全部字母都試一遍~~
之後就會找到一個 Target的關鍵字

BabyJail#

經典的 eval 的漏洞，但有一些限制
找到了以下的 payload

1
[ x.__init__.__globals__ for x in ''.__class__.__base__.__subclasses__() if x.__name__=="_wrap_close"][0]["system"]("指令內容")

Crypto#

沒有驗證使用者，直接使用 Admin 註冊然後利用加密出來的 key 登入就可以 get flag

Classic#

1
cipher = "o`15~UN;;U~;F~U0OkW;FNW;F]WNlUGV\""
2
charset = (
3
    "0123456789"
4
    "abcdefghijklmnopqrstuvwxyz"
5
    "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
6
    "!\"#$%&'()*+,-./:;<=>?@[\\]^_`{|}~"
7
)
8

9
A = 29
10
B = 27
11
A_inv = 13
12

13
plain = []
14
for c in cipher:
15
    enc_idx = charset.find(c)
16
    p_idx = ((enc_idx - B) * A_inv) % 94
17
    plain.append(charset[p_idx])
18

19
plaintext = "".join(plain)
20
print("解密結果:", plaintext)

心得#

這次比賽，打到了 105th
同時最近有感覺到疲倦期
沒有這麼多時間打 CTF 或其他資安的事
然後對於這件事的熱情沒有像之前這麼強
可能最近真的太忙了