第三届上海市大学生网络安全大赛 流量分析 WriteUp

打开流量包后,按照协议进行分类,发现了存在以下几种协议类型:

ARP / DNS / FTP / FTP-DATA / ICMP / ICMPv6 / IGMPv3 / LLMNR / NBNS / SSDP / SSL / TCP / TLSv1.2 / UDP

1.png

按照协议类型诸葛数据包进行读取,发现只有FTP协议是由用的,但是同时注意到TLS协议是进行加密的,其他的协议并没有什么作用。然后使用wireshark的过滤器将FTP和FTP-DATA筛选出来。发现了ftp的用户名和密码,尝试登陆,发现不能登录。

服务器地址:182.254.217.142
用户名:ftp
密码:codingay

2.png

3.png

但是通过分析数据包我发现了一些有价值的东西,从第8110和第8974个数据包中发现了ftp的目录结构,追踪一下TCP流,查看目录结构。

4.png

5.png

从目录中看到了两个flag.zip压缩包以及一个key.log可能是有用的东西,先把这三个文件提取出来。注意提取的时候需要保存为原始数据。

6.png

7.png

提取之后发现第一个压缩包是一个加密的文件,第二个压缩包是进行了伪加密的压缩文件,key.log暂时还不知道。然后使用winhex打开2.zip,进行解密。(将09 00 改为00 00即可)

8.png

解密后从压缩包中提取到了一个flag.txt,打开发现是假的flag,并提示“maybe you should focus on the encrypted packets......”,意思是“也许你应该关注加密的数据包...”

9.png

加密的数据包?那就应该是TLS协议没跑了,又想到key.log这个文件还没有用,然后使用key.log对TLS协议进行解密。(操作步骤:编辑→首选项→Protocols→TLS,然后在下面导入key.log文件)

资料参考:

NSS Key Log Format - Mozilla | MDN

27.3 如何用Wireshark解密HTTPS报文

10.png

然后回到数据包刷新一下就可以看到揭秘之后的数据了。因为TLS加密的是http协议,所以解密之后直接过滤http协议就可以了。

11.png

查看后可以大致分析出,是用百度网盘下了一个文件,把这个文件导出。(文件→导出对象→HTTP)

12.png

导出的文件是一个压缩包,解压后是一个音频文件,使用Audition打开,查看一下频谱帧率,可以看到

Key:AaaAaaaAAaaaAAaaaaaaAAAAAaaaaaaa!

13.png

使用这个key可以解开刚才那个加了密的压缩文件,解压后拿到一个flag.txt,打开即可获得真正的flag!

14.png

  • flag:flag
posted @ 2019-11-11 15:40  𝓢𝓷1𝓹𝓮𝓻/  阅读(1108)  评论(0编辑  收藏  举报