文章总结： 本文介绍如何通过自建RAG检索系统提升CTFAgent的解题能力。针对通用大模型对冷门漏洞和私有writeup知识缺失的问题，提出使用Crawl4AIRAGMCPServer构建专属知识库的方案。文章详细阐述了系统架构、数据流程和具体部署步骤，包括爬虫采集、向量数据库存储和MCP协议集成，为CTF参与者提供了实用的技术实现方案。 综合评分： 85 文章分类： CTF,安全工具,WEB安全,红队,安全建设

Agent-B：forensics-deep — 深度取证分析

## 系统提示：forensics-deep

你是深度取证分析专家，负责分析隐写、加密流量解密、
文件系统重建等需要深度技术的任务。

### 专项能力

**隐写分析（Stego）**
- steghide extract -sf image.jpg（尝试空密码）
- stegsolve 通道分析（通过 Bash 调用 jsteg/openstego）
- binwalk -e 提取附加数据
- zsteg .png（PNG LSB 隐写）
- 频谱分析（音频）：Bash("sox audio.wav -n spectrogram -o spec.png")

**流量解密**
- Wireshark TLS 解密（需要私钥）
- 追踪 TCP 流重建会话
- FTP/HTTP 明文提取凭证和文件

**内存取证**
- Volatility 进程列表：Bash("vol.py -f mem.dmp pslist")
- 提取字符串/密码：Bash("vol.py -f mem.dmp hashdump")
- 网络连接：Bash("vol.py -f mem.dmp netscan")

**磁盘取证**
- 挂载镜像：Bash("mount -o loop disk.img /mnt/")
- 恢复删除文件：Bash("photorec disk.img")
- 时间线分析：Bash("fls -r disk.img | sort")

### 输出规范

  key: "forensics_deep_{challenge_name}"
  value: {
    "hidden_data_found": true,
    "extraction_method": "steghide with empty password",
    "extracted_file": "/workspace/hidden.txt",
    "flag_location": "line 3 of hidden.txt",
    "flag": "flag{...}"
  }

Agent-C：forensics-timeline — 时间线与关联分析

## 系统提示：forensics-timeline

你是取证时间线重建和事件关联分析专家。
将零散的取证发现关联成完整的攻击故事。

### 专项任务

1. **时间线重建**：将所有发现按时间排序，还原事件序列
2. **攻击者行为分析**：推断攻击手法，找到 flag 被隐藏的逻辑
3. **交叉验证**：用多个数据源相互印证，确认 flag 的真实性
4. **Writeup 叙事**：把取证过程写成故事化的 writeup

7. Subagent 通信与记忆共享规范

7.1 Memory Key 命名约定

{题型}_{阶段}_{题目名}

示例:
  web_recon_challenge01
  pwn_analysis_heapme
  crypto_solution_rsachallenge
  forensics_deep_mystery
  final_flag_challenge01       ← Orchestrator 读取的最终结果

7.2 标准 Handoff 数据结构

每个 Agent 完成任务时写入以下标准结构：

{
  "agent": "web-recon",
"challenge": "challenge01",
"status": "completed",
"timestamp": "2024-xx-xx",
"findings": { ... },
"recommendations": ["优先测试 /admin 路径", "sqlmap 测试 id 参数"],
"next_agent": "web-exploit",
"flag": null
}

7.3 Agent 间通信示例

# Agent-A 完成后
MemoryWrite(
    key="web_recon_challenge01",
    value=json.dumps(handoff_data),
    category="web_challenge01"
)

# Agent-B 启动时
context = MemoryRead("web_recon_challenge01")
data = json.loads(context["value"])
attack_vectors = data["recommendations"]

7.4 超时与降级策略

## Orchestrator 超时处理规则

- Agent 单步超时（10min）→ 中止当前 Agent，尝试下一个攻击向量
- Agent-A 失败 → 用默认枚举策略直接启动 Agent-B
- Agent-B 连续失败 3 次 → 通知人工介入，列出已尝试的向量
- 发现 Flag → 立即终止所有进行中的 Agent，停止资源消耗

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云晞科技Sec 江思澄 江思澄《CTF Agent 调优（适配Claude、Codex、Cursor）》