SECCON 2020 Online CTFに参加して7位/579チーム(得点を入れた)でした。今回はBaby Crypto枠のThis is RSAとMedium(?) Rev枠のfixerを解いたのでそのWriteupになります。

This is RSA §

略解 §

p, qをランダム生成した数字を文字列として見てから各文字をASCIIコードに変換し、それを16進数とみなす形で生成しているので規則性がある。これをp, qの下の桁から探索していく事で確定することが出来る。

問題概要 §

下記ソースコードと出力結果が与えられる。

require 'openssl'

def get_prime
  i = OpenSSL::BN.rand(512).to_s.unpack1('H*').hex
  OpenSSL::BN.new(i).prime? ? i : get_prime
end

p = get_prime
q = get_prime
n = p * q
e = 65537
m = File.read('flag.txt').unpack1('H*').hex
c = m.pow(e, n)

puts "N = #{n}"
puts "c = #{c}"

p, qの作り方が(慣れていないrubyなのもあって)やや読みにくいが頑張って読むと

  1. まずランダムな512bitの数を生成する。
  2. 次にそれを文字列にした後、unpack1('H*')で各文字を対応するバイトを示す文字列に変換する。
    • 具体的には"1"はバイトにすると0x31なので"31"に変換される
    • これを全文字で適用するので"114514".unpack1('H*')"313134353134"になる。
  3. この結果を16進数表記と見て数値に変換する。
  4. それが素数なら返す、そうでなかったら素数になるまで繰り返す。

素因数分解 §

この生成方法によってp, qは次のようになる

$$ p = \sum_{i=0} (\mathrm{0x}30 + p_i) \times \mathrm{0x100}^i $$ $$ q = \sum_{j=0} (\mathrm{0x}30 + q_i) \times \mathrm{0x100}^j $$

この積であるnを計算すると次のようになる

$$ n = \sum_{i, j} \left(\mathrm{0x}900 + \mathrm{0x30}(p_i+q_j) + p_iq_j\right) \times \mathrm{0x}100^{i+j} $$

ここで0x100の0次の係数は の時の にのみ依存する。 はいずれも1桁の整数であるので組み合わせとして高々100通りの候補しかなく実際試してみると与えられたnと一致するp, qの組み合わせは対称性を考慮すると1つに定まる。

同様に0x100の1次の係数は である と0次の係数を求めた際の繰り上がりに依存するのだが、仮に における が決まっていれば だけを考えれば良い事になる。

以下、の0x100の各次数の係数を同様に下の桁から確定させることが出来るので最終的に となるまで探索して後は復号するだけ。

code §

from xcrypto import dec_pq, num_to_str
from xlog import XLog


logger = XLog()


def get_pq(p, q):
    str_p = ""
    str_q = ""
    for p_i in reversed(p):
        str_p += "3"
        str_p += str(p_i)
    for q_j in reversed(q):
        str_q += "3"
        str_q += str(q_j)

    return int(str_p, 16), int(str_q, 16)


if __name__ == '__main__':
    N = 13234306273608973531555502334446720401597326792644624514228362685813698571322410829494757436628326246629203126562441757712029708148508660279739210512110734001019285095467352938553972438629039005820507697493315650840705745518918873979766056584458077636454673830866061550714002346318865318536544606580475852690351622415519854730947773248376978689711597597169469401661488756669849772658771813742926651925442468141895198767553183304485662688033274567173210826233405235701905642383704395846192587563843422713499468379304400363773291993404144432403315463931374682824546730098380872658106314368520370995385913965019067624762624652495458399359096083188938802975032297056646831904294336374652136926975731836556951432035301855715375295216481079863945383657
    c = 9094564357254217771457579638296343398667095069849711922513911147179424647045593821415928967849073271368133854458732106409023539482401316282328817488781771665657515880026432487444729168909088425021111879152492812216384426360971681055941907554538267523250780508925995498013624610554177330113234686073838491261974164065812534037687990653834520243512128393881497418722817552604416319729143988970277812550536939775865310487081108925130229024749287074763499871216498398695877450736179371920963283041212502898938555288461797406895266037211533065670904218278235604002573401193114111627382958428536968266964975362791704067660270952933411608299947663325963289383426020609754934510085150774508301734516652467839087341415815719569669955613063226205647580528
    p = []
    q = []

    start_ij = 0

    while True:
        found = False
        target = N % (0x100)**(start_ij + 1)

        unknown_p_i, unknown_q_j = start_ij, start_ij

        p.append(-1)
        q.append(-1)

        for p_unknown in range(10):
            p[unknown_p_i] = p_unknown
            for q_unknown in range(10):
                q[unknown_q_j] = q_unknown
                _p, _q = get_pq(p, q)
                if _p*_q == N:
                    logger.info(f"found")
                    m = dec_pq(c, _p, _q, 0x10001)
                    logger.info(num_to_str(m))
                    exit()
                res = _p*_q

                if target == res % (0x100)**(start_ij + 1):
                    found = True
                    break

            if found:
                break

        start_ij += 1

flag §

SECCON{I_would_always_love_the_cryptography_and_I_know_RSA_never_gets_old_So_Im_always_a_fan_of_this_mathematical_magic_and...Wait_This_flag_can_be_longer_than_I_expected_What_happened?}

長すぎて見切れてる...

fixer §

略解 §

pycが配られる。uncompileはpython3.9に対応していない上にバージョンのマジックナンバーを偽装しても動かなかったのでdisで頑張ってデコンパイルする(時間はかかるものの予想より難しくはなかった)。問題はデコンパイル結果がlambdaの嵐だったので適度に分解したり定義された関数に直していく。頑張って読むと"入力文字列を各文字に対応した数字を要素とする配列に変換し、それを引数としてある関数が生成され、それに0を与えた結果を出力する"だったので、計算中のダンプ出来る数字を適当にダンプして動作をGuessした。

問題概要 §

pycファイルをくれる。但しバージョンは出たばかりの3.9である。このせいか既存のpycのデコンパイルツールは上手く動いてくれなかった。

動作としてはまず入力が"^SECCON{([A-Z]+)}$"にマッチするかを調べ、もしマッチするならコード中で定義されている無名関数の引数として括弧内を渡す。その結果が正ならその入力がフラグとなる。

デコンパイル §

Pythonの標準ライブラリにあるdisモジュールを使うとpycをディスアセンブル出来るのでこれを使う。pycの内部構造は良く知らないがここのリンクに載っているコードを利用したら良い感じにディスアセンブル出来た(結果はクソ長いので割愛)。

ディスアセンブル結果が得られたのでこれを人力デコンパイルする。特にネックとなるのは無名関数のために用意されているコードオブジェクトの部分でlambdaが連発されているせいで読みにくい。ひとまず上の方にあるコードオブジェクトから解析をしていく。

一番初めに遭遇するコードオブジェクトはこちらでこいつの引数にフラグの括弧内が渡される。

Disassembly of <code object <lambda> at 0x7f0185bdf870, file "fixer.py", line 9>:
  9           0 LOAD_CONST               1 (<code object <lambda> at 0x7f0185bcb5b0, file "fixer.py", line 9>)
              2 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
              4 MAKE_FUNCTION            0
              6 LOAD_CONST               3 (13611142019359843741091679554812914051545792465993098606064046040462991)
              8 CALL_FUNCTION            1
             10 LOAD_CONST               4 (<code object <lambda> at 0x7f0185bcb7c0, file "fixer.py", line 9>)
             12 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             14 MAKE_FUNCTION            0
             16 LOAD_CONST               5 (<code object <lambda> at 0x7f0185bcba80, file "fixer.py", line 9>)
             18 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             20 MAKE_FUNCTION            0
             22 CALL_FUNCTION            1
             24 LOAD_CONST               6 (<code object <lambda> at 0x7f0185bcbf50, file "fixer.py", line 9>)
             26 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             28 MAKE_FUNCTION            0
             30 CALL_FUNCTION            1
             32 LOAD_CONST               4 (<code object <lambda> at 0x7f0185bcb7c0, file "fixer.py", line 9>)
             34 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             36 MAKE_FUNCTION            0
             38 LOAD_CONST               7 (<code object <lambda> at 0x7f0185bdc2f0, file "fixer.py", line 9>)
             40 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             42 MAKE_FUNCTION            0
             44 CALL_FUNCTION            1
             46 LOAD_CONST               4 (<code object <lambda> at 0x7f0185bcb7c0, file "fixer.py", line 9>)
             48 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             50 MAKE_FUNCTION            0
             52 LOAD_CONST               8 (<code object <lambda> at 0x7f0185bd8870, file "fixer.py", line 9>)
             54 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>')
             56 MAKE_FUNCTION            0
             58 CALL_FUNCTION            1
             60 CALL_FUNCTION            1
             62 LOAD_FAST                0 (s)
             64 CALL_FUNCTION            1
             66 CALL_FUNCTION            1
             68 LOAD_CONST               9 (0)
             70 CALL_FUNCTION            1
             72 CALL_FUNCTION            1
             74 RETURN_VALUE

各命令の概要はだいたい次の通り

  • LOAD_HOGE: スタックに積む
  • CALL_FUNCTION <n>: <n>だけpopして引数とし、その下にある関数をpopしてcallする。結果はpushされる。
  • MAKE_FUNCTION: スタックからコードオブジェクトと名前をpopして関数を生成し、スタックに積む(よくわからんけど今回はlambdaを使った無名関数の作成に使われている)

関数呼び出しに関してはx86(32bit)に似ている。手元のメモを参照するとだいたい次のようなスタックの動きをしていたらしい。

58実行後(ip=60)

(f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870)
(f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0)
(f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50)
(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)

62実行後(ip=64)

s
((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))
(f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50)
(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)

64実行後(ip=66)

((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s)
(f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50)
(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)

68実行後(ip=70)

0
((f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50))(((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s))
(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)

70実行後(ip=72)

((f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50))(((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s))(0)
(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)

72実行後(ip=74)

(f: 0x7f0185bcb5b0)(13611142019359843741091679554812914051545792465993098606064046040462991)(((f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50))(((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s))(0))

この中で1番わかりやすいのは0x7f0185bcb5b0に配置されているコードオブジェクトである。

Disassembly of <code object <lambda> at 0x7f0185bcb5b0, file "fixer.py", line 9>:
  9           0 LOAD_CLOSURE             0 (a)
              2 BUILD_TUPLE              1
              4 LOAD_CONST               1 (<code object <lambda> at 0x7f0185bc4450, file "fixer.py", line 9>)
              6 LOAD_CONST               2 ('<lambda>.<locals>.<lambda>.<locals>.<lambda>')
              8 MAKE_FUNCTION            8 (closure)
             10 RETURN_VALUE

Disassembly of <code object <lambda> at 0x7f0185bc4450, file "fixer.py", line 9>:
  9           0 LOAD_DEREF               0 (a)
              2 LOAD_FAST                0 (b)
              4 COMPARE_OP               2 (==)
              6 RETURN_VALUE

これは引数として受け取ったaと等しいかを判定する"関数"を返す関数である。コード片にするとlambda a: (lambda b: a == b)のようになる。これに13611142019359843741091679554812914051545792465993098606064046040462991を渡しているため、72行目実行後のスタックに残っている値は(((f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50))(((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s))(0)) == 13611142019359843741091679554812914051545792465993098606064046040462991になる。

もうこの時点で頭が痛い(プレビューが読みづらくて地獄になってる)が、まだまだ無名関数は残っている。Writeup的に運が良いのは残りの無名関数は適当に読んでいくだけで同じディスアセンブル結果を得られるコードを得られるぐらいには単純である、というわけで割愛する。

問題は実際出来上がったデコンパイル結果が目を反らしたくなるぐらいlambda塗れだったということである。実際に出来上がった地獄のデコンパイル結果がこちら

import re

s = input()
m = re.match('^SECCON{([A-Z]+)}$', s)

if not m:
    print("invalid flag")
else:
    s = m.group(1)
    f = lambda s: ((lambda a: (lambda b: a == b))(13611142019359843741091679554812914051545792465993098606064046040462991))(((((lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c))))(lambda f: (lambda b: (lambda c: (lambda d: d if len(c) == 0 else b(f(b)(c[1:])(d))(c[0]))))))(lambda a: (lambda b: a * (lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c))))(lambda a: (lambda b: b - 10 if b > 266 else a(a(b+11))))(b) + b)))((((lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c))))(lambda f: (lambda b: (lambda c: [] if len(c) == 0 else [b(ord(c[0]) - 65)] + f(b)(c[1:])))))((lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c))))(lambda a: (lambda b: 1 if b == 0 else (b+1)*a(b-1) + 7 & 255))))(s)))(0))

    if f(s):
        print("correct")
    else:
        print("wrong")

    # # 0x7f0185bcb7c0
    # g = lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c)))

    # # 0x7f0185bcba80
    # h = lambda f: (lambda b: (lambda c: (lambda d: d if len(c) == 0 else b(f(b)(c[1:])(d))(c[0]))))

    # # 0x7f0185bcbf50
    # i = lambda a: (lambda b: a * (lambda a: (lambda b: a(lambda c: b(b)(c)))(lambda b: a(lambda c: b(b)(c))))(lambda a: (lambda b: b - 10 if b > 266 else a(a(b+11))))(b) + b)

    # 0x7f0185bdc2f0
    # j = lambda f: (lambda b: (lambda c: [] if len(c) == 0 else [b(ord(c[0]) - 65)] + f(b)(c[1:])))

    # 0x7f0185bd8870
    # k = lambda a: (lambda b: 1 if b == 0 else (b+1)*a(b-1) + 7 & 255)

無名関数の部分が見切れているが見ないほうが良いぐらいにはアホみたいに長い。コメントアウトして無名関数を分割してコードオブジェクト毎に書いておいたが、これを見て察して欲しい。

このままではどうあがいても解けないので無名関数に適当に名前を付けたりしていく。ついでに解析をすると(((f: 0x7f0185bcb7c0)(f: 0x7f0185bdc2f0))((f: 0x7f0185bcb7c0)(f: 0x7f0185bd8870))(s))の部分で配列を返していることが分かった。これを次のコードで入力毎に出力してみる。

import re

target = 13611142019359843741091679554812914051545792465993098606064046040462991

# 0x7f0185bcb7c0
def g(a):
    g_in = lambda b: a(lambda c: (b(b))(c))

    return g_in(g_in)


# 0x7f0185bcba80
def h(f):
    return lambda b: (lambda c: (lambda d: d if len(c) == 0 else b(f(b)(c[1:])(d))(c[0])))


# 0x7f0185bcbf50
def i(a):
    # print(hex(a))
    return lambda b: a * g(lambda a: (lambda b: b - 10 if b > 266 else a(a(b+11))))(b) + b


# 0x7f0185bdc2f0
def j(f):
    return (lambda b: (lambda c: [] if len(c) == 0 else [b(ord(c[0]) - 65)] + f(b)(c[1:])))


# 0x7f0185bd8870
def k(a):
    def k_in(b):
        return 1 if b == 0 else ((b+1) * a(b-1) + 7) & 255
    return k_in


# 引数(uppercaseからなる文字列)を文字にバラして文字に対し一意な数に変換した配列を返す
def to_arr(s):
    f_j = g(j)
    f_k = g(k)
    f_gjk = f_j(f_k)
    f0 = f_gjk

    return f0(s)


def arr_to_func(arr):
    g_h = g(h)
    g_h_i = g_h(i)
    return g_h_i(arr)


# s = input()
test_data = ["AAA", "BBBBBB", "ABC", "ABCD", "XDJFLKEMDJFA", "AAAAAAAAA", "YJSNPIMURKMR", "OAAAA", "ABCDEFGHIJKLMNOPQRSTUVWXYZ"]
for test_text in test_data:
    s = f"SECCON{{{test_text}}}"
    m = re.match('^SECCON{([A-Z]+)}$', s)

    if not m:
        print("invalid flag")
    else:
        s = m.group(1)

        arr = to_arr(s)
        f0 = arr_to_func(arr)
        res = f0(0)

    print(f"{s}: {list(map(hex, arr))}")

    # if f(s):
    #     print("correct")
    # else:
    #     print("wrong")

結果は次の通り

AAA: ['0x1', '0x1', '0x1']
BBBBBB: ['0x9', '0x9', '0x9', '0x9', '0x9', '0x9']
ABC: ['0x1', '0x9', '0x22']
ABCD: ['0x1', '0x9', '0x22', '0x8f']
XDJFLKEMDJFA: ['0x27', '0x8f', '0x83', '0xf3', '0xe7', '0xa8', '0xd2', '0xc2', '0x8f', '0x83', '0xf3', '0x1']
AAAAAAAAA: ['0x1', '0x1', '0x1', '0x1', '0x1', '0x1', '0x1', '0x1', '0x1']
YJSNPIMURKMR: ['0xd6', '0x83', '0x60', '0xa3', '0x47', '0xa6', '0xc2', '0x1a', '0x63', '0xa8', '0xc2', '0x63']
OAAAA: ['0x94', '0x1', '0x1', '0x1', '0x1']
ABCDEFGHIJKLMNOPQRSTUVWXYZ: ['0x1', '0x9', '0x22', '0x8f', '0xd2', '0xf3', '0xac', '0x67', '0xa6', '0x83', '0xa8', '0xe7', '0xc2', '0xa3', '0x94', '0x47', '0xbe', '0x63', '0x60', '0x87', '0x1a', '0x43', '0xc', '0x27', '0xd6', '0xc3']

これを見ると入力の各文字に対し一意な数字が振られてそれを並べた配列になっている。よって、この生成手順はよくわからないが、入力に対してこの配列が何になるかは事前に計算しておくことが出来る。

続いてこの配列を引数として((f: 0x7f0185bcb7c0)(f: 0x7f0185bcba80)(f: 0x7f0185bcbf50))に渡しているがこれは関数を生成する。そしてそこに0を渡すと数値を返す(たぶん)。

ここで先程のコードのi関数に注目するとここの引数aはおそらく数値である。というわけでこいつをdumpしてみる(上のコードのコメントを外す)、長いので一番下の"ABCDEFG..."だけの結果は次の通り。

0x0
0xc3
0xc499
0xc55dc0
0xc6231dcc
0xc6e940ea0f
0xc7b02a2af929
0xc877da552422b0
0xc940522f7946d310
0xca099281a8c019e373
0xcad39c142a68d9fd5731
0xcb9e6fb03e9342d7548878
0xcc6a0e1feed1d61a2bdd010c
0xcd36782e0ec0a7f04608de0daf
0xce03aea63ccf6898364ee6ebbd71
0xced1b254e30c3800ce8535d2a92f58
0xcfa0840737ef4438cf53bb087bd88800
0xd070248b3f27337d08230ec38454608883
0xd14094afca665ab0852b31d247d8b4e90c29
0xd211d5447a30c10b35b05d041a208d9df53590
0xd2e3e719beaaf1cc40e60d611e3aae2b932ac63c
0xd3b6cb00d8699cbe0d26f36e7f58e8d9bebdf1032f
0xd48a81cbd942065acb341a61edd841c2987caef43301
0xd55f0c4da51b486125ff4e7c4fc61a045b152ba3273490
0xd6346b59f2c063a987254dcacc15e01e5f7040ceca5bc4b2
0xd70a9fc54cb3240d30ac731896e1f5fe7dcfb10f99262076bb
ABCDEFGHIJKLMNOPQRSTUVWXYZ: ['0x1', '0x9', '0x22', '0x8f', '0xd2', '0xf3', '0xac', '0x67', '0xa6', '0x83', '0xa8', '0xe7', '0xc2', '0xa3', '0x94', '0x47', '0xbe', '0x63', '0x60', '0x87', '0x1a', '0x43', '0xc', '0x27', '0xd6', '0xc3']

この結果と配列をにらめっこして、どうやらi > 0においてn[i] = n[i-1] * 0x100 + n[i-1] + arr[-i]のような関係があるとGuessした。但しn[i]i番目に出力された数でarr[i]は生成された数列のi番目の要素である。

ということはこれを逆に辿ればarr[i]を順に求める事ができそうである。やり方としてはn[i-1] * 0x100 + n[i-1]n[i-1] * (0x101)なのでn[i]からarr[i]を総当りして引いていき、その結果が0x101の倍数であれば確定とする。

得られた結果を与えられたpycに食わせたらcorrectと出たのでこれがフラグである。

code §

from string import ascii_uppercase
import re

# 0x7f0185bcb7c0
def g(a):
    g_in = lambda b: a(lambda c: (b(b))(c))

    return g_in(g_in)


# 0x7f0185bcba80
def h(f):
    return lambda b: (lambda c: (lambda d: d if len(c) == 0 else b(f(b)(c[1:])(d))(c[0])))


# 0x7f0185bcbf50
def i(a):
    print(hex(a))
    return lambda b: a * g(lambda a: (lambda b: b - 10 if b > 266 else a(a(b+11))))(b) + b


# 0x7f0185bdc2f0
def j(f):
    return (lambda b: (lambda c: [] if len(c) == 0 else [b(ord(c[0]) - 65)] + f(b)(c[1:])))


# 0x7f0185bd8870
def k(a):
    def k_in(b):
        return 1 if b == 0 else ((b+1) * a(b-1) + 7) & 255
    return k_in


# 引数(uppercaseからなる文字列)を文字にバラして文字に対し一意な数に変換した配列を返す
def to_arr(s):
    f_j = g(j)
    f_k = g(k)
    f_gjk = f_j(f_k)
    f0 = f_gjk

    return f0(s)


def arr_to_func(arr):
    g_h = g(h)
    g_h_i = g_h(i)
    return g_h_i(arr)


def exploit():
    arr = to_arr(ascii_uppercase)
    n_dict = {c:n for c, n in zip(ascii_uppercase, arr)}

    flag = ""
    target = 13611142019359843741091679554812914051545792465993098606064046040462991

    while target > 0:
        for c, n in n_dict.items():
            if (target - n) % 0x101 == 0:
                print(c)
                flag += c
                target = (target - n) // 0x101
                break

    print(flag)


exploit()

flag §

SECCON{MYCJILJCZEKRDNNWZUGSEZQSKKPKZA}

感想 §

24時間の短さを実感しましたが、楽しかったです。9月, 10月と国産CTFが良イベント続きなのでこの勢いで国内のCTF勢が盛り上がってくれると嬉しいです。チーム内でも良問良CTFとの声が数多く上がっており、客観的に見ても本当に良いイベントでした。

私個人に対する感想としては、昨年が勉強し始めのPwnに挑んで玉砕したのでそれに比べたら今年は2問通すことが出来、成長したと思います(同時期に始めたチームメイトはそれ以上の速度で成長しているが)。
一方で、楕円曲線系の問題は今まで触れてなかったので今回もスルーしてましたが、Solves数を見る限り、ある程度やっておけば解けた可能性があるのでそろそろ触れておきたいです。今年の初夏にHeapを1から初めて毎日解くのを続けていたら直ぐに実践で解けるようになったのでこれと同じ成功体験を楕円曲線問題でも出来るよう頑張ります。

いつものチームメイト絶賛コーナーになりますが、開催期間の殆どの時間を寝ずに取り組んでいた人が居たりと奮闘していました(私は寝てました)。気がついたら各分野を安心して任せられる体制となっており創設者(私)の負担が減って嬉しいです(働け)。今年は決勝は無いとのことですが、来年も今回に近い、否それ以上を目指して決勝圏内に入れたら嬉しいです。

その他感想としてはfixerでlambda恐怖症になりました。mapとか使う関数型の書き方が好きなので無名関数とかよく使っていましたがしばらくlambdaは書きたくないです。でも、時間をかけて粘り強く取り組めば解けるという良い問題でした。苦手意識のあったRevですが、最近CTFで直ぐに諦める癖がRevを通して治りつつあると同時にその苦手意識も薄れている気がします。

定型句ではありますが、このような楽しいイベントを運営してくださったSECCONのCTF担当の皆様ありがとうございました。問題, インフラ, 対応まで快適なCTFでした。