文章总结： 本文记录了2026年数据安全职业技能竞赛CTF解题过程，涵盖数据校验、数据隐藏和数据分析三大题型。在数据校验题中，通过分析协议头文件、提取密钥材料并跳过GCM标签验证，成功解密55个隐写包获取flag。数据隐藏题涉及RTP/H.264流异或解密与视频重组，最终识别出车牌号。数据分析题则通过日志分析、内存取证和溯源追踪，定位黑客IP、攻击方式、挖矿程序及矿池域名。 综合评分： 85 文章分类： CTF,数据安全,取证分析,逆向分析,加密解密

2026第四届全国数据安全职业技能竞赛暨第四届全国安防行业职业技能竞赛“美亚柏科杯”数据安全管理员职业技能竞赛总决赛第二批18号下午wp

原创

一把梭安全 一把梭安全

一把梭安全

2026年5月6日 11:25 广东

在小说阅读器读本章

去阅读

数据安全

数据校验(50分)

题目描述：某安全运营中心的安全研究员，日常运维时捕获到奇怪的流量，研究员分析发现，这属于某种私有的视频监控传输协议。设备日志显示，存在大量“完整性校验错误”，导致数据包被丢弃。安全研究员从废弃项目文档资料中获取未知版本的协议头文件，请结合算法以及机制，分析提供信息，提取出隐藏数据并提交。

解题思路

第 1 步：分析头文件

HIK_SECURE_V1.h 提供了所有关键信息：

#define PROTOCOL_MAGIC "HIK_SECURE_V1"
#define KEY_SEED_TEMPLATE "%s|%s|%s"      // Seed Format: MAGIC | SERIAL | DATE
// Algo: SHA-256 (Truncate to 16 bytes for AES-128)

// Cipher: AES-128-GCM
#define GCM_IV_LEN  12
#define GCM_TAG_LEN 16

// AAD Format: "FRAME:<Sequence_ID>"
#define&nbsp;AAD_PREFIX "FRAME:"

// JSON Schema: { seq, ts, iv (hex), tag (hex), data (hex) }

总结出来：

• 算法：AES-128-GCM
• 密钥：SHA256("HIK_SECURE_V1" | SERIAL | DATE)[:16]
• AAD："FRAME:<seq>" 字符串
• 传输格式：JSON 文本

第 2 步：从注册包提取密钥材料

Wireshark 打开 pcap，第 1 个包是明文 JSON 注册包：

{
  "msg_type": "DEVICE_REGISTER",
  "protocol": "HIK_SECURE_V1",
  "device_info": {
    "serial_no": "IPC_X7_8848",
    "firmware_ver": "20251225",
    "model": "HK-Vision-X7"
  },
  "status": "ONLINE"
}

得到密钥派生三要素：

proto = "HIK_SECURE_V1"
sn    = "IPC_X7_8848"
date  = "20251225"
key   = SHA256("HIK_SECURE_V1|IPC_X7_8848|20251225")[:16]
      = de6d6027334237b3cf81a55756fe84c5

第 3 步：识别隐写包

总共 200 个加密视频包，扫一遍 data 字段长度：

• 正常视频帧：100~200 字节左右
• 异常包：data 仅 1 字节 ← 共 55 个

55 个异常包就是攻击者注入的隐写包，每包用 1 字节传输 1 个 ASCII 字符。

第 4 步：解密提取 flag

按 seq 升序，对 55 个隐写包逐个 AES-GCM 解密。

关键点：所有 55 个包的 GCM tag 验证全部失败——这正是题目里”完整性校验错误”的来源。攻击者注入隐写包时没有计算正确的 tag，设备验证失败后丢弃。但我们作为攻击分析者，可以跳过 tag 验证，仅用 key + nonce + AAD 还原明文。

把 55 个包解密出的 1 字节按 seq 顺序拼起来即得 flag。

SECRET_TOKEN_INFO{019b4a35-5d81-7073-bc07-e5b91e3ac63d}

数据隐藏(40分)

题目描述：某安防监控中心3号摄像头的RTSP视频流遭劫持，安全团队已捕获流量包surveillance.pcap。分析发现监控画面中拍到了可疑车辆，需通过技术手段还原视频并识别车牌号。经检测，该视频流采用RTP协议传输H.264编码数据，使用FU-A分片模式，且视频数据经过简单异或加密（密钥0xAA）。请从Wireshark中导出RTP负载（含12字节头）为二进制文件，该文件中的RTP包长度固定为1412字节（12字节头+1400字节负载）。请编写脚本解密视频数据，重组H.264 NALU并添加起始码0x00000001，最终生成可播放的MP4文件，从中找出可疑车辆的车牌号（格式示例：苏A888888）。

导出payload

然后进行xor

答案  京A598550

数据分析

 溯源分析

【题目1】日志分析某安防平台的运维人员在日常巡查的时候，发现平台的流量监控设备出现异常告警，他立即关闭的平台的业务并导出相关日志文件，请你分析日志文件，找出黑客的IP和攻击方式。【答案标准】

请你提交黑客的IP地址和攻击方式并提交

例：黑客的IP地址为192.168.1.1，攻击方式为文件上传，则最终提交192.168.1.1_文件上传

答案  213.54.123.103_SQL注入

【题目2】内存分析

运维人员在分析完日志后，将系统的内存信息保存了下来，以便后续的溯源工作。请你分析内存文件，找出黑客放置的挖矿程序。

【答案标准】

请你分析附件中的内存，找出黑客放置的挖矿程序，提交挖矿程序的全名

例：挖矿程序名称为wakuang.exe，则最终提交wakuang.exe

答案  winlogon.exe

【题目3】溯源取证

请你分析上题中发现的挖矿程序，找出黑客的矿池域并作为答案提交

【答案标准】

请你根据上题中找到的挖矿程序，继续进行内存分析，找出黑客挖矿的矿池域名并提交

例：黑客的矿池域名为aaa.com，则最终提交aaa.com

答案  pool.supportxmr.com

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一把梭安全 一把梭安全 一把梭安全《2026第四届全国数据安全职业技能竞赛暨第四届全国安防行业职业技能竞赛“美亚柏科杯”数据安全管理员职业技能竞赛总决赛第二批18号下午wp》