流量分析

题目 :

提示一:若感觉在中间某个容易出错的步骤,若有需要检验是否正确时,可以比较MD5: 90c490781f9c320cd1ba671fcb112d1c
提示二:注意补齐私钥格式
—–BEGIN RSA PRIVATE KEY—–
XXXXXXX
—–END RSA PRIVATE KEY—–

解答 :
怎么说呢,做完这题,我才知道坑人能有多坑! 流量分析的题,首先可以发现他的大小很小。不像是那种大流量的分析。 尝试了一下学长之前推荐的一款工具《科来网络分析系统》

可以发现ftp传输了两个包。此时,fl-g极有可能是flag。

于是拿wireshark千辛万苦,提取出来压缩包。然而….没有密码。 只好继续分析了。因为毕竟misc4了,不可能是密码爆破啥的吧。

继续看, 发现一个邮件(不知道科来怎么提文件,查看数据。哭唧唧) wireshark导出IMF对象。可以发现导出了几个邮件。然后逐个分析。

然而并没卵用,唯一有点用的,感觉奇怪的,就只有一个邮件。

此时这个不是一点的奇怪!而是很奇怪!那么,这串密钥。。是干什么的呢。 经过老司机多年开车经验,呸。做题经验。

猜测!肯定有https流量。当然,科来也说有了。

于是。。这种之前曾听说过的题目,现在到了手里还是有些小激动的。 尤其是那个图片!图片!图片!!!!

ocr也不行,手写也不行。那么多字。心塞ing。 好吧,最后还是百度找了个ocr识别了一下,然后改了几个字符。。

然后就是解密https流量。具体可以看这个链接。 https://blog.csdn.net/kelsel/article/detai...

直接导入私钥就可以。这里需要按照hint格式来,在前后加上标志位。 然后就可以解密https流量了。

然后搜索ssl,追踪http流量,最后取得flag

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~