虽然好像半年前才写过,但感觉这半年也有不少东西可写,所以写了
为什么老是半夜写这种东西
上次好像忘了提4~7月期间的一些有意思的事情了。因为那时候还被裹挟在烦闷的心情当中(不管是期末考试还是某四字母“比赛”带来的打击),所以忘了提这些事。仔细想想,其实那段时间还是快乐和有意义的事情居多:
- 四月初的时候我在几个大一点的比赛中(XYCTF、TGCTF)中打得还是挺入迷的,在XYCTF认识了高人
(物理意义)p3cd0wn和这么强?!的洋参(还都是因为做VM题认识的,之前最害怕的题型逐渐变成了自己的手下败将),之后又认识了更多朋友,有比我强的,有实力相当的,也有比我菜一些的,同方向的不同方向的都有,但他们都无一例外地让我的生活变得更加充实,我也学到了更多新东西,大大增加了交流的机会。 - 四月底的时候还打了ACTF,当时是第二次做到cuda逆向题(第一次是在阿里云),因为我的虚拟机没有独立显卡没法运行,所以只能静态同构,当时在超人的毅力和极度的自信下完成了算是比较复杂的ptx汇编逻辑同构的一次性成功,虽然是在比赛后一小会才出的,但那似乎是到今天为止我做出来的解数最少的题之一了,当时还是挺激动的。
- 五月底和学校同学一起打了个叫轩辕杯的比赛,收获了大满贯(全方向AK),拿到了特等奖,4个1TB的硬盘,或许之后再也没机会能打出全方向AK的成绩了。
- L3HCTF的七个逆向除了最难的一个迷宫之外全出了,算是逆向打的比较酣畅淋漓的一个比赛,可惜最后排在第四,没拿到奖(不知道为什么,总感觉拿到奖的比赛逆向都比较难,出不了力,逆向打的比较舒服的比赛又好像没怎么拿过奖,可能只是幸存者偏差吧)。
- 暑假初的京麒CTF总决赛把两个有解的逆向全出了,其中一个题还拿下了一血,还参观了京东总部的几栋大楼,明年争取也能接着去参观~
之后在DEFCON 33狠狠坐牢了
这段时间里,我的水平和实力也在逐步增长。我还记得在我刚进N1 Junior的时候,逆向题总是被某光速秒完密码题的密码学领域大猫顺手秒掉(可能是因为太简单了),随着我的成长和进步,我也逐渐能在每个大型国际赛里面做出来一两道虽然不是签到但分也没那么高的题,并在后面8月的justCTF中和他通过完美的合作做出来一个稍微难一点的go逆向+流量题,之后渐渐也成为了朋友(在那之前因为感觉他实力太强有点不太敢交流)。
暑假的时候给两个比赛出了题,一个是NewStarCTF 2025,毕竟是去年自己参加的新生赛,出了一些基础的和很有意思、有挑战性的题,正好因为新生赛涉及知识范围要综合,所以尝试了各种题型,有混淆的,异常处理的,java打包的,鸿蒙的等等,在比赛期间认识了一个很强的re小登,把我出的题全AK了(虽然是凭借了AI,但还是感觉他的进度比去年的我快),最后给的出题人赠品也很精美,pangbai挂画也很好看。另一个是N1Junior 2025的第二场比赛,我和当时2月招进来的其他同龄人一起出了题,我出了几个变态难度的逆向,最后解数也很少,以至于招进来的人里面没有一个做出来我的题,以后不出大奋了。
我们学校大二上的课程安排一点也不合理。虽然不能说是井然有序吧,但也可以说是一团乱麻了。刚开学的前几周课少的要命,周一甚至能看做周末的延伸,也没有早八之类的,之后越来越多,课程表逐渐被填满,直到学期末尾。有的课在期中考试前才开课,结果刚讲没几节课就要期中考试,感觉纯是为了考而考。最离谱的还是英语课,布置了一个论文,还要有答辩,闹到最后发现负责论文和负责答辩的老师别说知道对方进度了,连认识都不认识,互相不知道对方教我们班,简直胡闹。两个老师要求也不一样,不过最后算是做出了让步妥协,让我顺利地交了论文并完成了装模作样的答辩。由于论文没有限制题目,我就尽量写我懂而老师不懂的,想了半天把之前出到比赛题里的加密算法改了改交了,查重率0%,但是因为太过专业和术语被当成AI了。那时候,我就在想一个严肃而深刻的问题:究竟什么是像AI?什么是像人?两者在这种科学严谨上的内容如何作区分?如果数据来源和推理结果之类的硬性数据没有问题,凭什么要在这里作区分和鉴定?AI的最终目标本身就是模仿人类,AI率岂不是人类率?降低AI率岂不是在反人类?而且有些AI检测网站给出的“人类率”解释很牵强,称“口语化”和“有语法错误、拼写错误”等为人类标识,但论文作为专业的、学术的内容,有这些错误不应该才是更应该去除的?总之我不认可这个荒唐的检测机制。
与之相关的一个越发严重的问题就是CTF中的AI泛滥问题,由于AI高速发展,现在的Crypto方向作为数学知识最多、最严谨的方向,可以说大部分简单的题几乎已经被AI攻陷了,从新生赛密码题解数爆炸到国际比赛密码解出也能依靠AI,都能看出这一点,同样严重的是逆向,因为AI的分析能力和写代码的速度能力也比人类强,新生如果依赖AI解题就什么也学不到,如果出题要想反AI,目前的做法往往是在难度上提升,提升代码量和分析难度(混淆)等,但这样一来,往往顺手也把人类给反了,因为太难了人也不会做,必须要找到一些AI会但人会的切入点,但这些切入点又往往是想象力方面(也就是脑洞),而脑洞题也是很坏的题目,究竟该怎么平衡这几者之间的关系,该如何提醒新生不要当功利的分奴,学到真本事才算赢呢,暂时还想不出来,真令人头疼…
9月初参加了河北省省赛,大部分题很水,有些甚至好像还是某些新生赛的原题,逆向只有一个题,还是有难度的,如果没记错的话是一个魔改XXTEA+魔改SM4,大概搓了100行的脚本,是全场唯一解,当时做完甚至发现平台没有上传flag,可能是以为没人能做出来,做出来之后总裁判亲自过来拷走了我的wp和exp,河北省也没啥其他能打的学校了,轻轻松松拿了个特等奖(本来还想说这比赛的抽象比赛环境的,不仅断网还不让用自己的设备,连环境都不全,是赛前现装的,基本上是从0开始安装CTF环境,也没有自己的板子可以用,但鉴于他都让我拿特等奖了,那还说啥了)。比赛期间晚上还面试了N1J 2025第二次比赛招进来的同学,拷打了他们的逆向知识以及明知故问为什么没做出来我的地狱难度的题。
9月底到10月初的时候,我参加了Flare-On 12逆向大赛,基本上是我目前见过的最难也最有意思的逆向挑战之一了,学到了很多新东西,在经历了长达12天的赤石和坐牢之后成功AK,收到了一个实物奖品,也是我第一次收到从国外寄来的东西(小声嘀咕:虽然袋子感觉更有实用性,但是作为奖品感觉就算再实用,收藏价值和纪念意义也不会允许我使用它,还是想要奖牌之类的东西),一度以为没法从美国寄过来,最后居然免费寄来了。这期间9.30晚上的时候半夜没睡,在实验室蹲到半夜后和两个同学一起骑车25公里骑到了隔壁山海关去,半夜赶了个海(虽然没见到什么好东西),早上还看了个日出(但是被港口挡住了,有点遗憾),之后十一期间还有一天去爬了秦皇岛最高山祖山(不过也只有一千多米高),爬了十五公里,七八个小时,回来的时候还被黑出租车司机狠狠地坑了一把,不交高价就回不去,没有人在网约车平台上接单,不过风景倒是挺美的,就是山有点陡,累死了。
10月底和几个朋友一起代表子队去宁波参加了XCTF总决赛,最后拿了个三等奖第一名(不过solo因为没有密码手所以早早地寄掉了),还在酒店附近逛了逛,登了招宝山,在塔上俯瞰全城风光和钱塘江入海口。比赛期间晚上完善了N1CTF 2025那道混成史山的逆向题:
源代码足足有20万行,虽然大部分是汇编
这道题也让我认识了几个外国的朋友,他们一开始是在Discord上问我关于这题的做法,后来渐渐就熟了,和他们交流正好也能锻炼一下我的外语水平,为之后大四出国做准备。
自那之后我就开始逐渐被学校的各种杂七杂八的事情和考试裹挟了,如果我没记错的话从10月底到1月中旬我一共有15个考试。这段时间被学校整的焦头烂额,没有打太多比赛,也没见到什么有意思的值得写的题,所以博客一直没更新。
等我把学校的事务和考试处理完,我将如闪电般归来。
就写到这吧,今天还有一门英语期末考试