171113 杂项-数据包分析（4）

1625-5 王子昂 总结《2017年11月13日》 【连续第409天总结】
A. CTF中的数据包分析（4）
B.

0x05

本次讲解拥有key情况下对https数据的分析
题目来源于前不久的上海CTF

打开数据包，直接进行查看，按TCP的PORTB排序可以发现数据包中主要就是FTP和HTTPS：

跟踪几个FTP流
可以看到下载了若干文件（flag, flag.zip）

RETR是FTP中的下载命令，可以看到服务器端分别返回了四个文件
通过FTP-DATA协议可以看到内容

（两个flag的内容都是“1234567”，很明显是假的。而两个flag.zip，其中一个是伪加密，里面放着一个捉弄你的txt，另一个则是真的加密，缺少**）
于是再观察剩下一个FTP

它只传了一个key.log文件，将它同样下载下来，就是HTTPS的关键**了
（可以通过TCP流的save as功能来完整保存）
wireshark-edit-preference，protocol-ssl中将**设置好即可

这里我在Win环境下怎么设置都无法解密成功，最后去Linux里一遍成功了，不知道是WireShark版本问题还是系统问题……

解密成功后得到一堆HTTP包

粗览一遍能看出来是去百度云下载了某文件

选择文件-导出对象-HTTP

发现这个压缩包比较有问题，下载下来即可得到有关密码的文件
（对这个压缩包内的音频还需要查看频域才能得到之前flag.zip的**，不过跟数据包分析关系不大，所以就不赘述了）

C. 明日计划
HCTF-RE2