weixin_44911246的博客

cap.pcapng用Wireshark打开，清晰可见TCP的三次握手和四次挥手：于是需要仔细分析中间的数据传输过程。注意到某些数据包内有“numpy”等字符串：于是想到可能是某种兼容Python的序列化方法。又注意到有固定的头部数据：而pickle序列化时也有固定的头部数据（协议版本4.0）：于是尝试利用pickle进行反序列化。示例如下：import pysharkimport picklecap = pyshark.FileCapture('cap.pcapng')t

“Robust”意为“鲁棒性”。打开cap.pcapng，发现都是QUIC协议的数据包。结合提供的firefox.log（即使用firefox浏览器访问时生成的SSL Key Log）可以想到基于QUIC协议且强制使用TLS 1.3的HTTP3。导入SSL Key Log：清晰可见HTTP3数据包。利用过滤器过滤出所有HTTP3数据包，然后从头查看：http3可以明显看出，642号包之前的部分是在载入网页和JavaScript脚本。在第642号包处可以发现一个m3u8 playlist：

我又来随便糊一篇文章了。题目设定如下：An otaku used VeraCrypt to encrypt his favorites.Password: rctfFlag format: rctf{a-zA-Z0-9_}题目给的提示十分简单。于是准备VeraCrypt，开始解题。找前半段Flag首先下载题目附件，得到rctf-disk.zip，解压得到encrypt.vmdk。...

近期铺天盖地宣传的“西湖论剑”网络安全技能赛预选已经结束了。在这里随便糊一篇文章（也是我第一次写Write-Up文章），就聊聊杂项最先放出的那个第二题的解法。首先拿到题，解压，发现里面有“题目描述”，先看描述，是这么写的：我们截获了一些IP数据报，发现报文头中的TTL值特别可疑，怀疑是通信方嵌入了数据到TTL，我们将这些TTL值提取了出来，你能看出什么端倪吗？然后看给出的另一个文件，tt...