背景:本人ctf小萌新一个,学习了一点wireshark后,就自信满满的去刷题。在i春秋发现了一道300分的题目,便解了起来。最终还是太萌新,不会~~~~在网上寻找大佬的解题步骤询问大佬无果后。最终还是自己来。
题目:http://static2.ichunqiu.com/icq/resources/fileupload/CTF/echunqiu/dhb/traffic_178d98987b7d6407a2ff0257e4e3fd87.zip
开始解题:
一:下载下来题目发现是一个wirehark流量包。想都没想,扔到wireshark查看。作为一个萌新第一想法是不是在某个协议的数据流中,于是找,找啊。没有wtf。看了下题目300分呢,怎么可能呢么简单。于是继续分析。
二:分析ftp数据流。于是在 tcp.streameq 55 追踪TCP流中发现 了一些有用的东西
我们发现传输了名为key.log和zip文件
三:我们继续分析,在tcp流中找到一下内容
其中flag.zip两个
tcp.streameq38
tcp.streameq44
我们现在就可以猜出flag就在zip文件中,可是我们怎么把压缩文件拿出来啊。。萌新的我在这个地方卡了老久,百度,谷歌问大佬。终于得到导出文件的方法发。
及 右键 -> 追踪流 -> TCP 流 -> Save as (注意显示和保存数据那一栏更改为原始数据) 安先后顺序分别另存为1.zip与2.zip
四:接下来我们查看两个数据包的内容 发现都是名为flag.txt的加密文件。
第一想法暴力破解拉出暴力破解工具Ziperello破解,结果貌似破解不开。经过刷题经验和大佬的口口相传,难道是所谓的伪加密于是我打算拉出工具尝试一番 010 Editor 导入压缩文件
既然是伪加密我们就将ushortdeflags的Value项的9改为0,经测试发现有一个压缩包使用的伪加密打开txt文档来看看
mmp 假的flag欲哭无泪,没办法继续做白,但另一个压缩包该镇么解密呢,
五:对了刚才我们分析到tcp流中还有一个key.log什么东西于是百度谷歌
百度答:能发现这是一份NSS Key Log Format的文件,而这个文件是能解密出 Wireshark 里面的 https 流量的。
Firefox、Chrome可以通过设置SSLKEYLOGFILE环境变量导出所有的会话密钥,估计是为了方便调试。Wireshark可以通过这种格式的密钥来解密。
资料参考:
NSS Key Log Format - Mozilla | MDN
我们把 tcp.stream eq 58 右键 -> 追踪流 -> TCP 流 -> Save as 导出为key.log
再导入密钥
编辑——>首选项——>ssl
然后刷新一下流量包就可以解密出来隐藏的信息。
瞄了一眼大概就是上了百度的网盘下载了个东西,直接通过导出对象 -> HTTP进行导出
解压之后发现是一首歌,用Audacity打开挺好听的,听到了最后剩下了莫名其妙的杂音,数据应该就在这个部分了。
切换到频谱图分析
隐约能看到写着
Key:AaaAaaaAAaaaAAaaaaaaAAAAAaaaaaaa!
key及上述中没有运用伪加密的压缩文件密码解压文件打开txt及为flag
总结:第一次写writeup一是为了整理思路让脉络更清晰,发现不足,二是刷了一段时间的题也有了些思路与见解所谓熟能生巧。做一下总结与打算,作为一个初入门小白不禁感叹前方的路途遥远与困难,但谁让是这是自己的梦想呢,我热爱他,跟愿意为了他而坚持,加油。下一步继续刷misc,同时开始渗透与web的学习,继续学习python,加油upup。想想这一个星期是多么充实啊,重在排行榜里一直显示500+(24万多人 估计当时自己也得在10万名开外)一直刷到220多名 其中有看着别人的,writeup解出来的有的是自己做出来的,虽然都是历年的题目,但是我也收获了许多,继续加油,总有一天你会登上全省全国乃至全世界的领奖舞台,蓝莲花战队;AAA战队;强网杯一个人就是一个战对的排名第八的大佬都是我追求的目标。
第一次施工写writeup欢迎大家来讨论与指正不足,欢迎大佬前来指点。00:30第一次writeup施工完毕,睡觉!!!
