文章总结： 文档记录了CCB2026安全竞赛实战经验，包括通过目录扫描发现schema.sql获取凭证、利用文件上传漏洞获取webshell、SUID提权获取flag的实网渗透过程，以及专项赛中对Renpy游戏逆向分析时使用unrpyc解密rpyc文件、通过异或运算破解flag生成逻辑的技术细节。作者反思了在pwn和Java领域的不足，并提供了题目附件获取方式。 综合评分： 82 文章分类： 实战经验,CTF,WEB安全,二进制安全,渗透测试

CCB决赛有感(附RE/AI题目附件)

赛查查

2026年5月15日 10:07 北京

在小说阅读器读本章

去阅读

以下文章来源于EuSRC安全实验室 ，作者EuSRC安全实验室

EuSRC安全实验室 .

隶属于欧亚学院网络安全工作室。专注于SRC漏洞挖掘，WEB安全渗透测试，二进制安全，CTF竞赛。

“赛场很大,灯光很亮,茶歇很好吃  Ψ(￣∀￣)Ψ”

真是吃了没有pwn手的亏了,java基础也太薄弱了…..

话说,现场大佬好多，膜拜膜拜….

来张赛场照

实网渗透：

扫目录

找到一个schema.sql文件

找到账号密码,后台文件上传点上传文件，抓包修改后缀为php,成功拿到初步shell

上线 supershell ，发现find有suid权限，直接提权

find / -perm -4000 -type f -exec ls -la {} 2>/dev/null \;

/usr/bin/find . -exec /bin/bash -p \; -quit

拿到flag了,后面fscan扫描拿到一个app.java和一个protokms（一个邮件网关的软件）一下触及到盲区了…潦草退场了。

专项能力赛

DokiLogic

下载题目附件给了一个Renpy的游戏，打开就提示让输出answer,再没什么东西。 在路径下找到一个scrpit.rpyc文件不出意外就是flag的逻辑所在了

但是!我没有解密这个文件的脚本 /(ㄒoㄒ)/~~ ,以下来自赛后复现….

用unrpyc解密rpyc:https://github.com/CensoredUsername/unrpyc

拿到script.rpy

重点逻辑就是,主程序运行后会释放一个1.exe,然后

捕获其输出，在游戏开始时要求输入一个字符串，将该字符串每个字符与 35 异或后，与之前捕获的 exe 输出比较，若相等则提示用

flag{输入}

格式提交，否则重试。

因此，正确的输入就是 exe 输出与 35 再次异或的结果

直接把硬编码的1.exe粘出来用python脚本直接获取输出然后异或就可以拿到flag了，我就说怎么这么多解…. 还是储备太少了,没有解密脚本。

附上exp

import subprocess
import os

_f = b'MZ\x90\x00...'  # rpy里的_f也就是1.exe的硬编码数据

with open('temp.exe', 'wb') as f:
    f.write(_f)

output = subprocess.run('temp.exe', stdout=subprocess.PIPE).stdout.decode('latin-1')
os.remove('temp.exe')

flag_input = "".join(chr(ord(c) ^ 35) for c in output)
print(f'flag{{{flag_input}}}')

最后的最后,公众号后台回复:CCB2026拿题目附件(RE/AI)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛查查 《CCB决赛有感(附RE/AI题目附件)》