解决这道 CTF 题目 题目名:暗渡北线 题目描述: 北线分部的终端在一次例行同步后出现异常出站连接...
Создано: 9 июля 2026 г.
Отвечено с использованием GPT-5.5 Thinking от Chat01
Создано: 9 июля 2026 г.
Отвечено с использованием GPT-5.5 Thinking от Chat01
解决这道 CTF 题目
题目名:暗渡北线
题目描述:
北线分部的终端在一次例行同步后出现异常出站连接。安全团队截获了一段出口网关镜像流量,但没有拿到主机镜像。
初步分析显示:
没有任何单个包直接包含明文。
DNS 查询名的大小写没有被解析器破坏。
HTTP 80 明文流量里存在不少调试字段和疑似 token。
443/UDP 流量看起来像 QUIC/CDN/会议软件混合背景。
异常不在单个包里,而在一段重复时间窗口的统计偏移里。
你需要从这段流量中恢复被带出的行动代号。 Flag 格式:flag{...}
解出来的行动代号是:
shadow-meridian-2026-v2
所以 flag 为:
textflag{shadow-meridian-2026-v2}
关键恢复思路:
shadow_meridian.pcap 和事件简报。text<word><num>.w000.northline.example <word><num>.w001.northline.example ...
w000 → w271 排序后,取第一段 northline.example 查询中前缀单词首字母大小写作为 bit:text大写 = 1 小写 = 0
textSMC2shadow-meridian-2026-v2\x00*H\xc6\x1f\x7f+
其中 SMC2 是通道标识,\x00 后面是非文本校验/随机字段,中间的可读行动代号就是:
textshadow-meridian-2026-v2
HTTP 里的 flag_candidate_false、debug_not_secret、SM26_DECOY_STREAM 都是诱饵。