update monad's writeups

Author: YanWQ-monad

README.md

@@ -77,7 +77,7 @@
 | [zxx](players/zxx/README.md) | 总排名第 307 名 | 进制十六 -- 参上, 去吧！追寻自由的电波，FLAG 助力大红包，minecRaft |
 | [yyuueexxiinngg](players/yyuueexxiinngg/README.md) | 总排名第 152 名 | 签到、进制十六——参上、去吧！追寻自由的电波、猫咪问答 Pro Max、卖瓜、透明的文件、旅行照片、FLAG 助力大红包、Amnesia{轻度失忆}、图之上的信息、赛博厨房(Level 0、Level 1)、minecRaft  |
 | [Crabtux](players/Crabtux/) | 总排名第 91 名 | 签到，进制十六——参上，去吧！追寻自由的电波，猫咪问答 Pro Max，卖瓜，透明的文件，旅行照片，FLAG 助力大红包，Amnesia（轻度失忆），图之上的信息，Easy RSA，加密的 U 盘，minecRaft，超 OI 的 WriteUp 模拟器（果然还是逆向比较简单） |
-| [monad](players/monad/) | 总排名第 14 名 | 签到、进制十六——参上、去吧！追寻自由的电波、猫咪问答 Pro Max、透明的文件、旅行照片、FLAG 助力大红包、Amnesia-轻度失忆、图之上的信息、Easy RSA、加密的 U 盘、赛博厨房(Lv0-2)、Micro World、助记词、密码生成器、p😭q、（还在更新中） |
+| [monad](players/monad/) | 总排名第 14 名 | 签到、进制十六——参上、去吧！追寻自由的电波、猫咪问答 Pro Max、卖瓜、透明的文件、旅行照片、FLAG 助力大红包、Amnesia-轻度失忆、图之上的信息、Easy RSA、加密的 U 盘、赛博厨房(Lv0-2)、Micro World、阵列恢复大师（RAID0+5）、助记词、马赛克、minecRaft、密码生成器、JUST BE FUN、p😭q |
 | [Sora](https://www.sorasky.in/hg2021.sorasky) | 总排名第 102 名 | 签到，进制十六——参上，去吧！追寻自由的电波，猫咪问答 Pro Max，卖瓜，透明的文件，旅行照片，FLAG 助力大红包，Amnesia 轻度失忆，图之上的信息，加密的U盘，Micro World，马赛克 |
 | [ThinkingNull](https://awsl.blog/2021/ustc-hack-2021) | | 猫咪问答 Pro Max、旅行照片 |
 | [風的影子](players/windshadow/) | 总排名第 32 | 签到题、去吧！追寻自由的电波、猫咪问答、卖瓜、透明的文件、旅行照片、FLAG 助力大红包、图之上的信息、Easy RSA、加密的 U 盘、Micro World、马赛克、minecRaft、p😭q|

players/monad/10-Easy RSA.md

@@ -62,7 +62,7 @@ $$
 
 然而我不会求，查资料，发现了这个：[Finding the k-th root modulo m](https://math.stackexchange.com/questions/2073284/finding-the-kth-root-modulo-m)，简直完美。
 
-按照这篇文章（回答）所说，首先求满足这一式子的 $k$, $v$：
+按照这篇文章（回答）所说，首先求满足这一式子的 $u$, $v$：
 
 $$
 u \, e - v \, \varphi(n) = 1

players/monad/16-Micro World.md

@@ -6,6 +6,8 @@
 
 接着继续尝试反编译，我这里找了 [zrax/pycdc](https://github.com/zrax/pycdc)，能够逆向 Python 3.9 的字节码，但不完全能逆向出来（但是至少能看到大致的逻辑，也能看到点的数据）。
 
+![](assets/microworld_decompile.png)
+
 这是 `2.pyc` 中 `Point` 的定义：
 
 ```python

players/monad/18-阵列恢复大师.md

@@ -0,0 +1,70 @@
+# 阵列恢复大师
+
+<del>数据恢复软件都是浮云，手撕才是正道。</del>
+
+当时做题的时候，看着 RAID 5 通过的人比 RAID 0 多，所以就先跑去做 RAID 5 了。后来仔细思索一下，可能是因为 RAID 5 有软件能一键恢复吧。
+
+## 1 - RAID 0
+
+额，在恢复之前，先来看一下 RAID 0 的结构。
+
+![](assets/RAID_0.svg)
+
+说白了大概就是按块大小分块，然后按顺序依次存放在各个盘中。所以一个推论就是，一段内容只会出现在一个盘里面。
+
+为了方便起见，先把硬盘名字按照字母序重命名成 1\~8.img。
+
+先随便看看这些盘的内容，然后不难发现，8.img 的 0x00000200 处有一个 `EFI PART`，这是 GPT 分区表的标志。于是就不难推测出 8.img 是第一个盘。
+
+![](assets/raid0_disk_8_head.png)
+
+然后的话，再随便翻翻这些盘的内容，发现似乎空的部分（`0x00`）比较多。要确定盘的顺序的话，因为块与块之间是直接拼起来的，所以可以直接看内容的连续性来判断块的顺序，进而判断盘的顺序。
+
+这样的话，随便翻看几下，发现 `0x008C0000` 和 `0x008E0000` 附近的内容有断层，而且丰富性比较高，有文本、乱码、零。并且从这两个“断层”的距离不难推测出块的大小是 128KB。（注意下面第 4 块盘的 `0x008E0000` 前的部分，`n` 后面应该有一个空格。）
+
+| Disk |  `0x008C0000` 前   |    `0x008C0000` 后   |   `0x008E0000` 前   |   `0x008E0000` 后  |
+| :--: | :----------------: | :------------------: | :----------------: | :----------------: |
+|  1   |     0x00000000     | ``2J..`...HD.....k`` | `Subtype /Link /R` |     0x00000000     |
+|  2   |     0x00000000     |  `ect [118.3625 23`  | `g_system_respons` |     0x00000000     |
+|  3   |     0x00000000     |  `iveness_under_lo`  | `...:......b.<.dL` |     0x00000000     |
+|  4   |     0x00000000     |  `.q,.[.Q..B....Y.`  | `0470796 00000 n ` |     0x00000000     |
+|  5   | `0 obj.<< /A 489 ` |  `..g..b.c.D\...G.`  | `F.O...\i...o.G..` |     0x00000000     |
+|  6   |     0x00000000     |  `000 n .000007636`  | `M.t.p...V+.,=.2.` |     0x00000000     |
+|  7   |     0x00000000     |  `.0000470505 0000`  | `4....%......,.iI` |     0x00000000     |
+|  8   |     0x00000000     |  `0 R /Border [ 0 `  | `n .0000076610 00` | `.0..TL$w.......1` |
+
+根据 RAID 0 的结构，不难推测出 `1 - 2`，`2 - 3`，`4 - 7`，`5 - 8`，`8 - 6`（能分成三大块：`5 8 6`，`1 2 3`，`4 7`）。（如果觉得看表难推测的话，可以再看看这些位置的上下文，找一下文本的规律（常见词等）。）
+
+到这里，可能的盘的顺序就只剩下 `8 6 1 2 3 4 7 5` 和 `8 6 4 7 1 2 3 5` 两种，已经很优了。如果懒的话，可以直接两种方法都试一下，看看哪种对的就行了。
+
+实际上，在 `0x001C0000` \~ `0x001E0000` 的地方，可以观测到内容从有（非 0x00）变无（0x00）：
+
+|    Disk   | 1 |    2    | 3 | 4 | 5 | 6 | 7 | 8 |
+| :-------: |:-:|:-------:|:-:|:-:|:-:|:-:|:-:|:-:|
+| Not 0x00? | T | partial | F | F | F | T | F | T |
+
+据此，能推断出第 2 块盘在第 4 个位置。也就是说上面的两个方案，`8 6 1 2 3 4 7 5` 是对的。
+
+既然顺序和块大小（128 KB）都有了，直接恢复出完整镜像（我用了一下 DiskGenius），然后把镜像挂载一下就行了。
+
+## 2 - RAID 5
+
+同理，先来看看 RAID 5 的结构。
+
+![](assets/RAID_5.svg)
+
+与上面 RAID 0 不同的是，它多了一块奇偶校验块。
+
+也像上面一样，先瞅瞅这些盘的头部。
+
+![](assets/raid5_disk_23_head.png)
+
+然后可以发现 2.img 和 3.img 有 GPT 头，故可以确定这两个盘一个是第一个位置，另一个是最后一个位置（首个校验块所在盘）。而且在 2.img 的 `0x0040400` 的地方可以找到 ext2/3/4 的 superblock。
+
+所以现在就只剩下 12 种方案了……这一次我比较懒，就没有继续了（而且也懒得分析比较复杂的 RAID 5 了）。
+
+然后我真的就去莽了，块大小 64 KB 和 256 KB 都莽一下（不要问我为什么不试 128 KB），再把上面 12 种方案都过一遍。实际操作就是在 DiskGenius 上排顺序，看看那个拼好了之后，DiskGenuis 能找到 ext2/3/4 分区。
+
+最后试了几下，试出来了 `2 4 1 5 3`（块大小忘了实际上是多少了），然后用 DiskGenius 导出镜像（不知道为啥我那玩意不支持导出大于 1 MB 的文件），然后瞎搞一下，mount 上了就行了。
+
+<del>为什么我导出镜像之后还要用 testdisk 找一下分区后，导出分区才能挂载。</del>

players/monad/22-马赛克.md

@@ -0,0 +1,210 @@
+# 马赛克
+
+这道题的简单题意就是，给你一个打了码的二维码，并且给出打码的程序（算法是模糊部分的一个大的 block 的颜色，是这个区域内颜色的平均值）。<del>简单算一下信息量，感觉还是能复原的。</del>
+
+一些用词（为了避免混乱所以先说明）：二维码的块：指模糊前的二维码的一个黑白块；码的块：指打码部分的一个色块（应该没毛病吧）。
+
+于是乎，最朴素的方法就是……枚举原二维码每个块的黑白，然后看看跟模糊后的是否一致，但是这样做时间成本太大了。
+
+然后可以发现，这个码的一个块的影响范围是有限的，大概就 10 个左右的二维码块。于是我们就可以针对每个码的块，枚举其下的二维码的黑白。再把每一个块的有效方案拼起来即可。
+
+<del>原理听懂了吗？原理大概就这个样子。但是……你发现这个确实并不好实现（大概?）</del>
+
+具体实现的话，假设前面处理了若干个块，这些块拼在一起的有效方案（可能有多个）放在一个数组 `p` 里。然后处理一个新的块的时候，就把当前区域的方案，与 `p` 中的匹配（能相容的就结合），把新的方案放到一个新的数组 `q` 供下一轮使用。
+
+具体代码（调试输出十分炫酷，建议运行）：
+
+```python
+import random
+import math
+import numpy as np
+from PIL import Image
+
+X, Y = 103, 137     # 马赛克左上角位置(单位为像素)
+N = 20              # 马赛克块的数量（共N*N块）
+BOX_SIZE = 23       # 每个马赛克块的大小（边长，单位为像素）
+PIXEL_SIZE = 11     # 二维码每个块的大小（边长，单位为像素）
+
+
+def calc_block_color(img, x, y):
+    x1 = X + x * BOX_SIZE
+    x2 = X + (x + 1) * BOX_SIZE
+    y1 = Y + y * BOX_SIZE
+    y2 = Y + (y + 1) * BOX_SIZE
+    return math.floor(img[x1:x2, y1:y2].mean())
+
+
+def check_qr_block_in(mx, my, qx, qy):
+    # 检查 (qx, qy) 这个二维码块 是否影响 (mx, my) 这个打码块
+    X1 = X + mx * BOX_SIZE
+    X2 = X + (mx + 1) * BOX_SIZE - 1
+    Y1 = Y + my * BOX_SIZE
+    Y2 = Y + (my + 1) * BOX_SIZE - 1
+
+    x1 = qx * PIXEL_SIZE
+    x2 = (qx + 1) * PIXEL_SIZE - 1
+    y1 = qy * PIXEL_SIZE
+    y2 = (qy + 1) * PIXEL_SIZE - 1
+
+    if (X1 <= x1 <= X2 and Y1 <= y1 <= Y2) or (X1 <= x1 <= X2 and Y1 <= y2 <= Y2) \
+    or (X1 <= x2 <= X2 and Y1 <= y1 <= Y2) or (X1 <= x2 <= X2 and Y1 <= y2 <= Y2):
+        return True
+    return False
+
+
+def paint_with(img, x, y, color):
+    # 将 (x, y) 二维码块涂成 color 色
+    x1 = x * PIXEL_SIZE
+    x2 = (x + 1) * PIXEL_SIZE
+    y1 = y * PIXEL_SIZE
+    y2 = (y + 1) * PIXEL_SIZE
+    img[x1:x2, y1:y2] = color
+
+
+class Plan:
+    def __init__(self, plan = None):
+        if plan is None:
+            plan = {}
+        self.plan = plan
+        self.min_x = 10000
+        self.min_y = 10000
+
+    def compatible(self, other):
+        # 检查此 plan 是否与 `other` 兼容
+        for (x, y), value in self.plan.items():
+            if (data := other.plan.get((x, y))) is not None and data != value:
+                return False
+        return True
+
+    def push(self, x, y, data):
+        self.min_x = min(self.min_x, x)
+        self.min_y = min(self.min_y, y)
+        self.plan[(x, y)] = data
+
+    def combine(self, other):
+        # 将此 plan 与 `other` 结合，返回新的 plan
+        assert self.compatible(other)
+        new = Plan(self.plan.copy())
+        for (x, y), value in other.plan.items():
+            new.push(x, y, value)
+        return new
+
+
+def get_initial_plan(img):
+    # 这是获取初始的 plan，主要包含码周边的一圈二维码块
+
+    X1 = X + 0 * BOX_SIZE
+    X2 = X + N * BOX_SIZE
+    Y1 = Y + 0 * BOX_SIZE
+    Y2 = Y + N * BOX_SIZE
+
+    def is_in(x, y):
+        return X1 <= x <= X2 and Y1 <= y <= Y2
+
+    plan = Plan()
+
+    for x, y in np.ndindex(57, 57):
+        for i, j in np.ndindex(N, N):
+            if check_qr_block_in(i, j, x, y):
+                x1 = x * PIXEL_SIZE
+                x2 = (x + 1) * PIXEL_SIZE - 1
+                y1 = y * PIXEL_SIZE
+                y2 = (y + 1) * PIXEL_SIZE - 1
+
+                if not is_in(x1, y1):
+                    color = img.getpixel((y1, x1))
+                    plan.push(x, y, color)
+                    break
+                elif not is_in(x2, y2):
+                    color = img.getpixel((y2, x2))
+                    plan.push(x, y, color)
+                    break
+
+    POSITION_BLOCK = [(50, 50), (50, 28), (28, 50), (28, 28)]  # 定位块
+    for block in POSITION_BLOCK:
+        for x, y in np.ndindex(5, 5):
+            d = max(abs(x - 2), abs(y - 2))
+            color = 0 if (d % 2 == 0) else 255
+            plan.push(block[0] + x - 2, block[1] + y - 2, color)
+
+    return plan
+
+
+def iter_blocks():
+    # 枚举顺序从四周到中心，方便先利用已知数据
+    for d in range(N):
+        for i, j in np.ndindex(N, N):
+            dx = min(i, (N - 1) - i)
+            dy = min(j, (N - 1) - j)
+            if min(dx, dy) == d:
+                yield (j, i)
+
+
+def main():
+    mosaic = Image.open('pixelated_qrcode.bmp')
+    temp = np.asarray(mosaic.copy(), dtype='uint8')
+
+    plans = [ get_initial_plan(mosaic) ]
+    for i, j in iter_blocks():
+        new_plans = []
+
+        related_block = []
+        for x, y in np.ndindex(57, 57):
+            if check_qr_block_in(i, j, x, y):
+                related_block.append([x, y])
+        n = len(related_block)
+
+        print(f'Solving ({i:2}, {j:2}), related blocks: {n}')
+
+        for b in range(2 ** n):
+            plan = Plan()
+            for index, block in enumerate(related_block):
+                if ((2 ** index) & b) > 0:
+                    paint_with(temp, *block, 0)
+                    plan.push(*block, 0)
+                else:
+                    paint_with(temp, *block, 255)
+                    plan.push(*block, 255)
+
+            color = calc_block_color(temp, i, j)
+            correct_color = mosaic.getpixel((Y + j * BOX_SIZE, X + i * BOX_SIZE))
+            if color == correct_color:
+                for old_plan in plans:
+                    if plan.compatible(old_plan):
+                        new_plans.append(old_plan.combine(plan))
+
+        plans = new_plans
+
+        if len(plans) > 1000:
+            ids = [ i for i in range(len(plans)) ]
+            random.shuffle(ids)
+            buckets = []
+            for i in ids[:1000]:
+                buckets.append(plans[i])
+            plans = buckets
+
+        if len(plans) == 0:  # 如果 Failed 了，请洗把脸回来，再跑一遍
+            raise Exception('Failed')
+
+        # 比较炫酷的调试输出
+        for x in range(9, 52):
+            for y in range(12, 55):
+                if (value := plans[0].plan.get((x, y))) is not None:
+                    c = '*' if value == 0 else '_'
+                else:
+                    c = ' '
+                print(c, end=' ')
+            print()
+        print(f'Current valid plans: {len(plans)}')
+
+    # 输出 10 张复原的二维码
+    for i, plan in enumerate(plans[:10]):
+        for (x, y), value in plan.plan.items():
+            paint_with(temp, x, y, value)
+        image = Image.fromarray(temp, mode='L')
+        image.save(f'result-{i}.bmp')
+
+
+if __name__ == '__main__':
+    main()
+```