LOADING

載入過慢請啟用快取 瀏覽器預設啟用

osu!gaming CTF 2025 兔子洞探險記

2025/10/30 InfoSec 心得 CTF Writeup osu

心得

banner
平均 maimai Camera 畫質。

作為一個音遊廚和 CTF 玩家,又有音遊題又有 CTF 可以打的 osu!gaming CTF 完全沒有不參加的理由阿 XD

但是…剛好危機分期中考完 (炸了,要停修),又有點感冒,回高雄避冬四天,直接睡了一天,醒來之後就看到隊友幾乎打完了其他分類…

ICEDTEA 各位真的好強 Orz,反正我只能去撿剩下的 Misc 和 Rhythm 和 osu! 這種非典型題 XD

然後想說可能很多 CTFer 沒打過 osu! 和 Arcade Rhythm Game,所以這次 WP 也會稍微補充一下一些有趣的背景知識,反正不要把這篇當技術文看 XD

rhythm/circles

40 solves / 177 points

Both osu! and this game consist of circles… And the latest version of the game is also named CiRCLE…

Anyway, we found out an evil group is trying to encode some secret message in their usernames.

The only info we get is the image below, please help us!

P.S. The flag contains non-ascii characters, and you should wrap it in osu{FLAG} format.

P.P.S. You don’t have to touch grass in order to solve this challenge :)

circles_photo

解法

附圖中的圖片是 maimai 中的拍照功能,可以你和打完的成績拍在一起,傳到 .NET 上給你利用,所以 maimai 又稱音遊拍貼機 (沒這句瞎掰的)

首先,他的日期是 2025/10/23 21:06,時區是 UTC+9 (Japan),然後圖片的外框還是 maimai PRiSM+ 的版本,就可以初步排除是日服和中國服了,日服已經更新到 maimai CiRCLE,而中國有特殊的 “DX” 版本。

而因為他是要我們找出 Username,所以有在想有沒有可能是排行榜上的排名。所以就打開了國際版的 maimai .NET (反正有帳號),跑去看 2 Player 的達成率排名,但一無所獲。

而後來又想到有些店家會有提供 “外部出力” 的服務,簡單講就是把機台螢幕畫面多接一個擷取卡,然後直播到 YT, Twitch 等平台,或者錄影。台灣像 X50, 競音殿堂, 白喵系等都有類似的服務。而這次他拍照的店家,可以從 PRiSM 後更新後顯示的店家資訊 “TaiPo i-Game” 得知。

之後丟到 Google 找,可以找到店家的直播錄影,接下來找一下錄播存檔。就可以找到當時的 直播連結,還有圖片,以及最重要的使用者名稱 (SfCfkpZN NGnwn5iL)

circles_photo_live

解 Base64 和加上 osu{} 之後,就可以拿到 Flag 了。

Flag: osu{I💖M4i😋}

解題時間十分鐘,WP 時間 30 分鐘

rhythm/hidden-signal

15 solves / 281 points

Someone showed me a “map” and he claimed to have found a hidden signal in it. Can you decode it?

Turn the answer to uppercase and wrap it in osu{FLAG} format.

Note: A 0 is missing in the string before decoding the flag. It is in the last third of the flag and you could notice it when you get to the part. It should be easily guessable where to add the 0. Sorry for the confusion.

expected difficulty: 3/5

Author: sahuang

解法

這題是賽後解,只能說非常通靈。

首先,題目是一個 maimai 的譜面檔案,用常用的 majdata Editor 打開看了一下,發現是 QZKago Requiem 的紅譜 Standend 譜面 外部出力連結

和原譜面相比,在 Fantastic Clear 那段,原譜面的 BK 被拔掉了,變成一連串短連,部分:

{10}8,1,8,1,1,8,8,8,8,8,
{10}7,2,7,7,7,7,2,7,2,2,
{10}6,6,6,6,6,6,3,6,6,6,
{10}8,8,8,1,8,8,1,8,8,8
{10}2,5,5,5,5,5,5,5,2,5,
{10}8,4,8,4,8,8,8,4,8,8,

這個前面的 {} 表示一小節塞多少個 Note,然後後面塞的數字表示鍵位

內圈 A1-A8,外圈 1-8,對應圖:

maimai_area

然後題目第四行結尾少了一個逗號,有自己補上,後來才知道這也是主辦給有說少一個 0 的原因,我直接自己補上了。

然後就卡了一天,賽後討論別人說

1-4 = 1
5-8 = 0

0101100000
0100001011
0000001000
0001001000
1000000010
0101000100

然後丟 CyberChef

cyberchef

check_circle_flag

好了,不說了,十分鐘解圖譜,然後通靈不出轉換規則,後來還繞去解 majdataEditor 的 .autosave 自動暫存資料夾,還看到之前改譜的紀錄,還在想 1 2 1 2 又是啥東西,真是謝了兔子洞。

circle_1212

然後還在想譜面會不會是哪裡漏看,重複看了超級久,搞到最後已經不知道是在打 CTF,還是在拆紅 QZ 的手順了,看到被朋友問到底開 majdata 幹嘛

long_majdata

然後上機打還 96% -> 98%,邊打 CTF 邊拆譜真棒。

qz98

rhythm/lunatic-ksm

32 solves / 196 points

There’s a reason why the term “illegal pattern” exists.

発狂KSM os/us難易度表 (v5.0)

Make sure to submit flag content in uppercase, like this: osu{HELLO_WORLD}

expected difficulty: 1/5

Author: enscribe

解法

先簡介一下 KSM 是啥,KSM 全名 KShoot Mania,是個 SDVX 的第三方譜面的 Client,反正就是可以讓你寫和玩第三方圖譜的東西。雖然我都用 USC (Unnamed-SDVX-Clone),因為套 Theme 可以叫我老婆 Kureha 的 L2D 出來 (X

然後他提到了 “発狂KSM”,這東西基本上就是規格外譜面,會有各種奇葩配置或者不是給人打的東西,然後建議用 KSM 開,因為一些 Camera 視角優化的問題,USC 有機會出一些怪怪的問題。

痾然後解這題你不用知道 “発狂KSM” 是個啥,你只要知道:

  1. 主辦給的譜叫 [NiC realized ∀lter ∃go]
  2. Google 他,發現他是在曲包 [Journey_of_KANSHA_vol1_v1.zip] 的一張譜
  3. 官網 (https://journeyofkansha.wixsite.com/vol1)
  4. 載點 (https://drive.google.com/file/d/1lsH8OfvlWt1pIiFko-CdZpI362Erm7aL/view?usp=sharing)
  5. 解包,找到原譜 jir 那個資料夾,和主辦的檔案跑 diff
  6. 發現主辦的內容多了一段內容
  7. 只留多的那一段,重開 Editor
  8. get flag
    lunatic_ksm_flag
  9. 我不知道考點在哪裡
  10. Flag: osu{KONASUTE_IS_A_SCAM}

misc/barcade

2 solves / 481 points
Look at this ITG cabinet—it’s even running the latest itgmania version, 1.1.0. Custom songs are enabled too! Oh, but this barcade charges $2 for just one stage… my favorite chart doesn’t even appear in song selection because it’s too long. Can you put the machine into Event Mode so I can play it?
expected difficulty: 3/5
https://instancer.sekai.team/challenges/barcade
Author: BrownieInMotion

這題就是簡單筆記一下而已 .w.,有點累了,懶得重打了。

他題目是一個全預設環境的 ITGmania,開啟機台模式。

然後有 load 一個要解禁的譜面,那個譜面有 Flag,然後需要開 Event Mode 才能看到。

然後我們可控的有一般裸在外面的按鍵 (不包含 Service Buttom),和一個可以任意上傳檔案進去的 USB 隨身碟。

所以要做的事就是,傳一首圖譜進去隨身碟,那個圖譜裡面要塞一個 lua 腳本,然後機台讀取時,執行到那個 lua 檔案,進而臨時修改設定,使 Event Mode 被啟用。

而我自己解題的時候,有知道要觸發到 lua 檔,但一直往 inject Theme 或 Plugins 的方向去做,但這兩個都需要預載在機台內,而不能用 USB 動態載入,然後就一直在想辦法繞。只能說跳兔子洞阿..

然後就是題外話,這東西一臉看起來像國外的 DDR 舊框會改的軟體,那可以用 USB 存檔案和歌曲,有沒有人會直接插把鍵盤上去按 Service Buttom (ScrLk) 改餘額阿 XD