解决这道 CTF 题目 题目名:暗渡北线 题目描述: 北线分部的终端在一次例行同步后出现异常出站连接...

Creato il: 9 luglio 2026

Risposto usando GPT-5.5 Thinking da Chat01

Domanda

attachment.zip

解决这道 CTF 题目
题目名:暗渡北线
题目描述:
北线分部的终端在一次例行同步后出现异常出站连接。安全团队截获了一段出口网关镜像流量,但没有拿到主机镜像。

初步分析显示:

没有任何单个包直接包含明文。
DNS 查询名的大小写没有被解析器破坏。
HTTP 80 明文流量里存在不少调试字段和疑似 token。
443/UDP 流量看起来像 QUIC/CDN/会议软件混合背景。
异常不在单个包里,而在一段重复时间窗口的统计偏移里。
你需要从这段流量中恢复被带出的行动代号。 Flag 格式:flag{...}

Pensiero

bash -lc python3 - <<'PY' bs=bytes.fromhex('624441c00e7e8a3a70e28361f85185eec8872750a5de7739b9b8e3a7763cd7ebafe24b3fa2534d43fac0168dc0144f2ed3829af95c73a7efe7b325213eb4f47b11b085a2b6642870a79e86646a005477e9e183efdb8c687d6b4b81a8e0fde6a5bfa55b9e97e97ecb2c7d18a851b9155ecea770dd4e14') idx=bs.find(b'SMC') print(idx, bs[idx-10:idx+20], ''.join(chr(c) if 32<=c<127 else '.' for c in bs[idx-10:idx+20])) PY

Thought for 10m 19s

Risposta

解出来的行动代号是:

shadow-meridian-2026-v2

所以 flag 为:

text
flag{shadow-meridian-2026-v2}

关键恢复思路:

  1. 解压后得到 shadow_meridian.pcap 和事件简报。
  2. 重点看 DNS 查询名大小写,筛选形如:
text
<word><num>.w000.northline.example <word><num>.w001.northline.example ...
  1. w000 → w271 排序后,取第一段 northline.example 查询中前缀单词首字母大小写作为 bit:
text
大写 = 1 小写 = 0
  1. 每 8 bit 按 MSB 组字节,第一段解出:
text
SMC2shadow-meridian-2026-v2\x00*H\xc6\x1f\x7f+

其中 SMC2 是通道标识,\x00 后面是非文本校验/随机字段,中间的可读行动代号就是:

text
shadow-meridian-2026-v2

HTTP 里的 flag_candidate_falsedebug_not_secretSM26_DECOY_STREAM 都是诱饵。

Condividi questa Q&A