2021-03-30发表2025-08-15更新code6 分钟读完 (大约947个字)

最近在帮人做CTF的时候遇到一道有意思的题目，记录一下思维过程。

题目整个只有一个MP3文件的附件。下载

¶0x01

首先观察16进制数据，没有发现异常，只有一个PNG图片作为封面图，提取PNG图片观察图片的16进制数据，也没有发现任何异常。

¶0x02

观察到Comment tag中有一个 163 key(Don’t modify)

经查询资料得知是网易云MP3里的元数据。AES-128-ECB加密，用密码 #14ljk_!\]&0U<'( 解码，得到一个Json字符串，观察并没有发现任何有用信息。

¶0x03

使用Audacity加载，观察波形图和频谱图，没有发现异常。

¶0x04

猜测使用Mp3Stego加密，但是没有密码，无法解密。使用Mp3Stego测试了几个常用密码以后放弃。

¶0x05

正在一筹莫展没有思路的时候，发现MP3格式的帧数据中，有一个uint32 private_bit，可以作为私有数据的标记位。帧头具体格式为：

typedef FrameHeader

{

unsigned int sync:11; //同步信息

unsigned int version:2; //版本

unsigned int layer: 2; //层

unsigned int error protection:1; // CRC校验

unsigned int bitrate_index:4; //位率

unsigned int sampling_frequency:2; //采样频率

unsigned int padding:1; //帧长调节

unsigned int private:1; //保留字

unsigned int mode:2; //声道模式

unsigned int mode extension:2; //扩充模式

unsigned int copyright:1; // 版权

unsigned int original:1; //原版标志

unsigned int emphasis:2; //强调模式

}

曾经也有题目是使用private_bit来隐藏Flag。但是翻看了几帧发现private_bit位都是0，似乎并没有存储数据。但是在翻看的时候发现，uint32 copyright这一位似乎内藏玄机，这一位在相邻几帧的数据有0有1，查询得知这是版权位，通常不会出现不同帧有0有1的情况。

于是决定将copyright位的数据提取出来看看。

¶0x06

在提取的过程中发现一个问题。该MP3文件每一帧的长度不固定，有的是414H，有的是415H，一开始完全没有找到规律。网上相关题目和private位隐写数据的示例，也都是固定帧长度的。只好另外想办法。

翻看资料得知帧长度的变化和padding填充位有关。

帧长度是压缩时每一帧的长度，包括帧头的4个字节。它将填充的空位也计算在内。Layer 1的一个空位长4字节，Layer 2和Layer 3的空位是1字节。当读取MPEG文件时必须计算该值以便找到相邻的帧。注意：因为有填充和比特率变换，帧长度可能变化

观察本文件得知如果padding位为1，帧长度就是415H，padding位为0，帧长度就是414H。

查询得知第一帧的起始位置为984484，又因为帧头为4个字符，padding_bit位于第三个字符的倒数第二位，而copyright位于第四个字符的倒数第四位。所以从984486开始查找，向后读取一个字节提取padding_bit，再向后读取一个字节提取copyright。

故写出一下python代码进行copyright位的提取。

# coding:utf-8
import re
import binascii

n = 984486  # 起始位置
result = ''
file = open('2.mp3', 'rb')
# 提取
while n < 12658083:  # 结束位置
    file.seek(n, 0)
    head = file.read(1)
    padding = '{:08b}'.format(ord(head))[-2]

    file.seek(n+1, 0)
    file_read_result = file.read(1)
    result += '{:08b}'.format(ord(file_read_result))[-4]

    n += 1045 if padding == "1" else 1044
# 拼接
flag = ''
textArr = re.findall('.{'+str(8)+'}', result)
for i in textArr:
    flag = flag + chr(int(i, 2)).strip('\n')
print(flag)

执行代码得到 flag{b3d7bed5-e8da-4d9c-848c-e5d332d63bcd}

成功找到Flag，收工。

2018-07-04发表2025-08-15更新code6 分钟读完 (大约954个字)

迁移Jira的数据库到Mysql

前言

买了Jira Software Server自用也有一段时间了，之前安装的时候为了图省事，采用了内置的H2数据库，用了这么久，一直提醒我作为生产环境需要换成Mysql数据库，终于闲下来可以换一下。

开工

按照官方的步骤

1、首先备份数据。这个很简单，在后台就可以备份。

2、然后安装Mysql的JDBC驱动

To copy the MySQL JDBC driver to your application server:

Get the MySQL driver:
If you are installing Jira, download the recommended MySQL driver JDBC Connector/J 5.1 from https://dev.mysql.com/downloads/connector/j/ 
You can download either the .tar.gz or the .zip file by selecting the 'Platform Independent' option. Extract the jar for the driver (e.g. mysql-connector-java-5.x.x-bin.jar) from the archive.

Restart Jira / Jira service.

这里遇到了一个问题，Mysql官方下载地址 https://dev.mysql.com/downloads/connector/j/ 进去以后下载到的是Connector/J 8.0.11，而这个版本是不能在JIRA使用的，会报错。
这里一定要点Looking for previous GA versions下载老版本，我用的是5.1.46终于可以正常使用。
安装完毕后重启JIRA

3、使用官方配置工具迁移

Using the Jira configuration tool — Use this method, if you have an existing Jira instance. Your settings will be saved to the dbconfig.xml file in your Jira home directory.

这个工具默认是在/opt/atlassian/jira/里的，但是当我打开运行的时候产生了报错，说我JAVA版本不对，可是我明明JIRA都可以运行，怎么到了你这里连个工具都运行不了了呢。
查了一下资料原来是openJDK是不认的，必须是官方OracleJDK才行，因为这两个JDK的version输出不一样，要么改tools代码，要么换个JDK。我选择换JDK，毕竟OpenJDK后面还不知道有啥坑，还是用Oracle官方的吧。

使用工具一步步配置好数据库连接以后，启动Jira，遇到了无限500报错。看logs文件夹里的日志，应该是数据库连接成功，但是库名不对。检查了几遍明明是对的，看了一下连接，好像连的是一个不存在的名为PUBLIC的库。又用配置工具配置了几次，依旧不行。
查资料得知配置文件修改的是dbconfig.xml文件。这个文件在/var/atlassian/application-data/jira目录下。赶紧去看了一下。里面有一个莫名其妙的 <schema-name>PUBLIC</schema-name> 字段，查遍了官方说明，都没看到有写这个字段。试着把这个字段改成正确的数据库名称，重启Jira，居然可以正常使用了。

4、然后就是进入初始化安装流程，这里选择导入已有数据，然后输入备份数据位置，等待即可。

总结

整个迁移过程说简单也简单，说坑也挺坑的，主要有这么几个点：

1、对Java的SDK对版本和类型（OpenJDK、OracleJDK）有奇怪要求。
2、对Mysql connector版本有奇怪要求，8不行5.1.46可以
3、官方配置工具配置完以后数据库居然不对，需要手动去配置文件里面修改。而这个dbconfig.xml配置文件又找了好久。
4、全都搞完以后日志里有一堆关于mysql连接不是ssl的Warning，害得我又去dbconfig.xml里把连接串url里加了个useSSL=false才正常。

终于可以正常用Jira Software了。这里强烈推荐一下这个管理工具，不管是做团队的项目管理，还是个人的事务管理，都肥肠好用哦。

2018-05-09发表2025-08-15更新code8 分钟读完 (大约1141个字)

年轻人的第一个AWS Lambda函数

前言

之前用Go写的VSCO接口失效了，下午又用Python重新写了一个。因为VSCO的锁区，导致在香港的服务器无法获取到需要的json，而美国服务器延迟又略大，又不想专门为这个API开一台服务器用，这时候突然想到了AWS的Lambda函数。

AWS Lambda介绍我就直接复制 https://aws.amazon.com/cn/documentation/lambda/ 了

使用 AWS Lambda，您无需预置或管理服务器即可运行代码。您只需为使用的计算时间付费，在代码未运行期间不产生任何费用。您可以为几乎任何类型的应用程序或后端服务运行代码，而无需任何管理。只需上传您的代码，Lambda会处理运行和扩展高可用性代码所需的一切工作。您可以将您的代码设置为自动从其他 AWS 服务触发，或者直接从任何 Web 或移动应用程序调用。

而从公网调用这个函数，又需要Amazon API Gateway https://aws.amazon.com/cn/documentation/apigateway/

Amazon API Gateway 是一种完全托管型服务，使开发人员可以轻松发布、维护、监控和保护任何规模的 API。创建 API 以从后端服务（比如 Amazon Elastic Compute Cloud (Amazon EC2) 上运行的应用程序、AWS Lambda 上运行的代码或者任何 Web 应用程序）访问数据、业务逻辑或功能。可将 API Gateway 视为云中的一个背板，用于连接 AWS 服务和其他公有或私有网站。它可以提供一致的 RESTful 应用程序编程接口 (API)，让移动和 Web 应用程序可以访问 AWS 服务。

这样看下来，我把Lambda函数写好，使用API Gateway来控制访问，整体下来就是一个无服务器应用程序的demo了。

API Gateway 与 AWS Lambda 共同构成 AWS 无服务器基础设施中面向应用程序的部分。对于调用公开 AWS 服务的应用程序，您可以使用 Lambda 与所需的服务交互，并通过 API Gateway 中的 API 方法来使用 Lambda 函数。AWS Lambda 在高可用性计算基础设施上运行代码。它会进行必要的计算资源执行和管理工作。为了支持无服务器应用程序，API Gateway 可以支持与 AWS Lambda 的简化代理集成和 HTTP 终端节点。

实践

为了访问速度，这里我选择AWS的东京区域，首先创建一个Lambda函数，当前支持C#,Go,JAVA,Nodejs,Python几种语言的不同版本，足够日常使用了，这里我选择Python，并且把代码上传到AWS，注意配置好主函数（您函数中的 filename.handler-method 值。例如：“main.handler” 将调用在 main.py 中定义的处理程序方法。）

左边添加一个触发器，这里采用API Gateway，配置好方法请求等参数，这里需要注意的是在API Gateway管理界面需要配置好各种请求和相应阶段以后可以进行测试，并且需要部署API，而部署完以后的API是有Stage的，URL里也需要注意有Stage，否则会报 {"message":"Missing Authentication Token"} 错误。

绑定自定义域名aws-apne-gateway.tms.im，这里需要先在ACM（Amazon Certificate Manager）里导入或者生成域名证书。

这样就完成了一个Lambda函数的部署，整体操作下来还是很简单顺畅的。

总结

一直想体验一下AWS的FaaS架构，今天也是借着这个小需求的机会体验了一把FaaS，感觉是开发者的福音，完全不需要考虑后端服务器的环境，部署等各种问题，只需要关注核心逻辑实现，把函数当成一个简单的黑盒实现即可。
缺点嘛也很明显，只适合不是那么复杂的可以拆分出来的函数逻辑的实现，和微服务架构有点像，如果业务逻辑很重并且非常缠绕，互相依赖太严重，无法通过拆分成小函数来执行的话可能就不太适合FaaS架构了。

2017-05-15发表2025-08-15更新code11 分钟读完 (大约1691个字)

Linux下TCP延迟确认(Delay ACK)机制

本文的起因是周师傅早上突然问起为何本应四次挥手的TCP，抓包发现只有三个包，看图显示为客户端主动发送FIN的情况下，少了一个服务器对客户端的ACK回复，而是直接发送了FIN+ACK。

此时我还不知道是因为Linux的Delay ACK机制造成的。于是针对这个现象展开了一波研究。

首先找到定义TCP协议的RFC793的文档 https://tools.ietf.org/html/rfc793 的3.5部分，文档表示

     TCP A                                                TCP B

  1.  ESTABLISHED                                          ESTABLISHED

  2.  (Close)
      FIN-WAIT-1  --> <SEQ=100><ACK=300><CTL=FIN,ACK>  --> CLOSE-WAIT

  3.  FIN-WAIT-2  <-- <SEQ=300><ACK=101><CTL=ACK>      <-- CLOSE-WAIT

  4.                                                       (Close)
      TIME-WAIT   <-- <SEQ=300><ACK=101><CTL=FIN,ACK>  <-- LAST-ACK

  5.  TIME-WAIT   --> <SEQ=101><ACK=301><CTL=ACK>      --> CLOSED

  6.  (2 MSL)
      CLOSED

                         Normal Close Sequence

                               Figure 13.



      TCP A                                                TCP B

  1.  ESTABLISHED                                          ESTABLISHED

  2.  (Close)                                              (Close)
      FIN-WAIT-1  --> <SEQ=100><ACK=300><CTL=FIN,ACK>  ... FIN-WAIT-1
                  <-- <SEQ=300><ACK=100><CTL=FIN,ACK>  <--
                  ... <SEQ=100><ACK=300><CTL=FIN,ACK>  -->

  3.  CLOSING     --> <SEQ=101><ACK=301><CTL=ACK>      ... CLOSING
                  <-- <SEQ=301><ACK=101><CTL=ACK>      <--
                  ... <SEQ=101><ACK=301><CTL=ACK>      -->

  4.  TIME-WAIT                                            TIME-WAIT
      (2 MSL)                                              (2 MSL)
      CLOSED                                               CLOSED

                      Simultaneous Close Sequence

显然不管是单方发起还是双方同时发起关闭连接，都是有四次挥手的。

只好从源代码下手去寻找答案。由于周师傅抓包的是HTTP的情况，于是从服务器端的nginx源码研究起。
nginx/src/os/unix/ngx_socket.h里显示

ioctl(FIONBIO) sets a non-blocking mode with the single syscall
while fcntl(F_SETFL, O_NONBLOCK) needs to learn the current state
using fcntl(F_GETFL).
ioctl() and fcntl() are syscalls at least in FreeBSD 2.x, Linux 2.2
and Solaris 7.
ioctl() in Linux 2.4 and 2.6 uses BKL, however, fcntl(F_SETFL) uses it too.

nginx是使用系统函数来管理TCP连接的。所以这不是nginx的锅，于是找到Linux内核源码来研究系统对TCP的管理。

首先找到linux/net/ipv4/tcp.c来观察系统对于TCP_ESTABLISHED时收到FIN包如何切换状态。
在tcp_set_state函数中找到了linux对tcp状态的变化维护表

static const unsigned char new_state[16] = {
  /* current state:        new state:      action:    */
  [0 /* (Invalid) */]	= TCP_CLOSE,
  [TCP_ESTABLISHED]	= TCP_FIN_WAIT1 | TCP_ACTION_FIN,
  [TCP_SYN_SENT]	= TCP_CLOSE,
  [TCP_SYN_RECV]	= TCP_FIN_WAIT1 | TCP_ACTION_FIN,
  [TCP_FIN_WAIT1]	= TCP_FIN_WAIT1,
  [TCP_FIN_WAIT2]	= TCP_FIN_WAIT2,
  [TCP_TIME_WAIT]	= TCP_CLOSE,
  [TCP_CLOSE]		= TCP_CLOSE,
  [TCP_CLOSE_WAIT]	= TCP_LAST_ACK  | TCP_ACTION_FIN,
  [TCP_LAST_ACK]	= TCP_LAST_ACK,
  [TCP_LISTEN]		= TCP_CLOSE,
  [TCP_CLOSING]		= TCP_CLOSING,
  [TCP_NEW_SYN_RECV]	= TCP_CLOSE,	/* should not happen ! */
};

而对FIN包的处理是由linux/net/ipv4/tcp_input.c里面的tcp_fin函数负责

/*
 * 	Process the FIN bit. This now behaves as it is supposed to work
 *	and the FIN takes effect when it is validly part of sequence
 *	space. Not before when we get holes.
 *
 *	If we are ESTABLISHED, a received fin moves us to CLOSE-WAIT
 *	(and thence onto LAST-ACK and finally, CLOSE, we never enter
 *	TIME-WAIT)
 *
 *	If we are in FINWAIT-1, a received FIN indicates simultaneous
 *	close and we go into CLOSING (and later onto TIME-WAIT)
 *
 *	If we are in FINWAIT-2, a received FIN moves us to TIME-WAIT.
 */


void tcp_fin(struct sock *sk)
{
	struct tcp_sock *tp = tcp_sk(sk);

	inet_csk_schedule_ack(sk);

	sk->sk_shutdown |= RCV_SHUTDOWN;
	sock_set_flag(sk, SOCK_DONE);

	switch (sk->sk_state) {
	case TCP_SYN_RECV:
	case TCP_ESTABLISHED:
		/* Move to CLOSE_WAIT */
		tcp_set_state(sk, TCP_CLOSE_WAIT);
		inet_csk(sk)->icsk_ack.pingpong = 1;
		break;

	case TCP_CLOSE_WAIT:
	case TCP_CLOSING:
		/* Received a retransmission of the FIN, do
		 * nothing.
		 */
		break;
	case TCP_LAST_ACK:
		/* RFC793: Remain in the LAST-ACK state. */
		break;

	case TCP_FIN_WAIT1:
		/* This case occurs when a simultaneous close
		 * happens, we must ack the received FIN and
		 * enter the CLOSING state.
		 */
		tcp_send_ack(sk);
		tcp_set_state(sk, TCP_CLOSING);
		break;
	case TCP_FIN_WAIT2:
		/* Received a FIN -- send ACK and enter TIME_WAIT. */
		tcp_send_ack(sk);
		tcp_time_wait(sk, TCP_TIME_WAIT, 0);
		break;
	default:
		/* Only TCP_LISTEN and TCP_CLOSE are left, in these
		 * cases we should never reach this piece of code.
		 */
		pr_err("%s: Impossible, sk->sk_state=%d\n",
		       __func__, sk->sk_state);
		break;
	}

	/* It _is_ possible, that we have something out-of-order _after_ FIN.
	 * Probably, we should reset in this case. For now drop them.
	 */
	skb_rbtree_purge(&tp->out_of_order_queue);
	if (tcp_is_sack(tp))
		tcp_sack_reset(&tp->rx_opt);
	sk_mem_reclaim(sk);

	if (!sock_flag(sk, SOCK_DEAD)) {
		sk->sk_state_change(sk);

		/* Do not send POLL_HUP for half duplex close. */
		if (sk->sk_shutdown == SHUTDOWN_MASK ||
		    sk->sk_state == TCP_CLOSE)
			sk_wake_async(sk, SOCK_WAKE_WAITD, POLL_HUP);
		else
			sk_wake_async(sk, SOCK_WAKE_WAITD, POLL_IN);
	}
}

函数做了状态转换和乱序包的处理。而在TCP_ESTABLISHED这里发现一个有趣的现象，没有马上调用tcp_send_ack进行ACK回复，而是执行了
inet_csk(sk)->icsk_ack.pingpong = 1;
这个icsk_ack.pingpong是什么呢，顺藤摸瓜的找到了include/net/inet_connection_sock.h

@icsk_ack: Delayed ACK control data

	struct {
		__u8		  pending;	 /* ACK is pending			   */
		__u8		  quick;	 /* Scheduled number of quick acks	   */
		__u8		  pingpong;	 /* The session is interactive		   */
		__u8		  blocked;	 /* Delayed ACK was blocked by socket lock */
		__u32		  ato;		 /* Predicted tick of soft clock	   */
		unsigned long	  timeout;	 /* Currently scheduled timeout		   */
		__u32		  lrcvtime;	 /* timestamp of last received data packet */
		__u16		  last_seg_size; /* Size of last incoming segment	   */
		__u16		  rcv_mss;	 /* MSS used for delayed ACK decisions	   */

其中pingpong的作用是表明这个session是交互式。这个标志位是delay ack的一个control位。查阅了一下icsk_ack.pingpong和delay ack的资料，发现正常的挥手流程是这样的

client: FIN (will not send more)
server: ACK (received the FIN)
… server: sends more data…, client ACKs these data
server: FIN (will not send more)
client: ACK (received the FIN)

而下面有说

If the server has no more data to send it might close the connection also. In this case steps 2+3 can be merged, e.g. the server sends a FIN+ACK, where the ACK acknowledges the FIN received by the client.

也就是说如果服务器端在客户端发出FIN以后，如果有数据要发送，需要先ACK这个FIN，然后再进行数据发送。但是如果服务器端没有更多数据发送，也要关闭连接的情况下，很可能ACK包就跟随FIN一起发出。其中ACK为确认客户端的FIN包。

查询RFC1122的 4.2.3.2 When to Send an ACK Segment 得知

         4.2.3.2  When to Send an ACK Segment
            A host that is receiving a stream of TCP data segments can
            increase efficiency in both the Internet and the hosts by
            sending fewer than one ACK (acknowledgment) segment per data
            segment received; this is known as a "delayed ACK" [TCP:5].

            A TCP SHOULD implement a delayed ACK, but an ACK should not
            be excessively delayed; in particular, the delay MUST be
            less than 0.5 seconds, and in a stream of full-sized
            segments there SHOULD be an ACK for at least every second
            segment.

原来：
TCP采用两种方式来发送ACK：快速确认和延迟确认。
在快速确认模式中，本端接收到数据包后，会立即发送ACK给对端。
在延迟确认模式中，本端接收到数据包后，不会立即发送ACK给对端，而是等待一段时间，如果在此期间：

本端有数据包要发送给对端。就在发送数据包的时候捎带上此ACK，如此一来就节省了一个报文。
本端没有数据包要发送给对端。延迟确认定时器会超时，然后发送纯ACK给对端。

具体实现上面用
icsk->icsk_ack.pingpong == 0，表示使用快速确认。
icsk->icsk_ack.pingpong == 1，表示使用延迟确认。
而对周师傅遇到的情况的FIN包的处理刚好是在icsk->icsk_ack.pingpong == 1的场景。于是服务端的FIN和ACK合并发送了。

参考资料：
https://github.com/torvalds/linux/
http://blog.csdn.net/wdscq1234/article/details/52430382
http://blog.csdn.net/dog250/article/details/52664508
http://stackoverflow.com/questions/21390479/fin-omitted-fin-ack-sent

2017-04-27发表2025-08-15更新code7 分钟读完 (大约1033个字)

技术面试指南

¶面试流程

通常我们的面试分为一次电话面试和一次现场面试。在少数难以决定的时候会多增加一轮电话或现场面试。

¶面试中的沟通问题

尊重候选人，平等交流：让候选人自我介绍前，先介绍自己和公司；交流的时候双方处于平等的地位，耐心听完对方的话；在面试过程中不要有驳倒候选人的意图。无论是电话面试还是现场面试都应该做到守时。我们在考察别人的时候，别人也在考察我们。

把握好面试节奏：面试从双方的自我介绍开始，然后开始从候选人过去的职位和做过的项目开始谈起，这些都应该是候选人熟悉的内容，为后面更难的技术问题建立良好的沟通氛围。

不要只求答案正确，要本着一起讨论的方式让候选人充分说明解题思路；不要不断地变换问题，每个问题点到即止。对一个问题要一层层深入，直到候选人回答不了或完整解答为止，这样才能知道候选人思考达到的深度在哪里。

面试的重点是考察候选人解决办法的思路。可以从一个简单的问题开始，候选人给出回答后，在上一个问题基础上做些变化进一步加大难度，考察候选人思路是否灵活；也可以从一个困难的问题开始，考察候选人分解复杂问题的能力，在长时间没有进展时应该给出一些提示。同时也要注意考察候选人在遇到困难时是否会问合适的问题。

给候选人对你提问的机会：我们要通过面试了解候选人，候选人也需要在这个过程中了解我们。在面试结束前应该给候选人提出对我们的团队、产品、面试过程、职位需求等方面问题的机会。一来解答对方的疑问，二来也可以看出他对新工作的期待程度和热情高低。

每一次面试，并不仅仅是一次壮大团队的机会。哪怕最后没有招来新同事，也可以多让一个人知道我们的公司和产品。我们的用户群和我们招聘的目标人群是重叠的，我们接触的每个人都可能传播我们的形象和品牌。

¶面试中需要考察的问题

对不同的技术职位下面的几个方面有不同的权重，但都应该基本覆盖到：

基础知识：基本的数据结构和算法；
排序、二分查找等经典算法在现实中的应用；
对概率的基本理解；
对时间和空间复杂度的理解；
所招聘职位相关的专业问题（iOS、Android、后端架构等）。

¶面试中应避免的问题

与技术和实际工作无关的智力题，比如过去曾很流行的和海盗、金币、球相关的一类问题。因为在面试中能比较快回答出这类问题的通常是曾在网上看到过答案的人，并且这类问题对预测候选人在实际工作中的表现几乎没有参考价值。
网上常见的所谓 Microsoft、Google 面试题等，原因同上。
非技术的假设性问题：假如现在要赶活；假如有两件事情摆在你面前；假如老板故意刁难你；假如有一个不好合作的同事。

转自：http://open.leancloud.cn/tech-interview-guide.html