第三届上海市大学生网络安全大赛 流量分析 traffic WriteUp

参考1：https://www.cnblogs.com/sn1per/p/11835479.html
参考2：https://blog.csdn.net/JaySRJ7/article/details/102215248
题目链接： https://pan.baidu.com/s/1Utfq8W-NS4AfI0xG-HqSbA 提取码: 9wqs
解题思路：

打开流量包后，按照协议进行分类，发现了存在以下几种协议类型：

ARP / DNS / FTP / FTP-DATA / ICMP / ICMPv6 / IGMPv3 / LLMNR / NBNS / SSDP / SSL / TCP / TLSv1.2 / UDP

（这里可以在过滤输入框里输入FTP回车后，再对筛选过的包进行分析查看，也可以ctrl+F 查找【字符串】关键字ctrl+F 查找关键字flag或者flag的【十六进制】666c6167进行快速查找，下面直接用查找flag关键字方法）




继续查找后，发现压缩包内容，如下图









点击流的向上按钮


注意这里有一个key.log文件




解密后从压缩包中提取到了一个flag.txt，打开发现是假的flag，并提示“maybe you should focus on the encrypted packets…”，意思是“也许你应该关注加密的数据包…”
下面提取key.log文件

加密的数据包？那就应该是TLS协议没跑了，又想到key.log这个文件还没有用，然后使用key.log对TLS协议进行解密。（操作步骤：编辑→首选项→Protocols→TLS，然后在下面导入key.log文件）

直接把该key提交flag,先试试，发现不对。那就解密压缩包

成功！
下面是别人有用的一部分思路，可以看看。

按照协议类型对数据包进行读取，发现只有FTP协议是由用的，但是同时注意到TLS协议是进行加密的，其他的协议并没有什么作用。然后使用wireshark的过滤器将FTP和FTP-DATA筛选出来。发现了ftp的用户名和密码，尝试登陆，发现不能登录。

服务器地址：182.254.217.142
用户名：ftp
密码：codingay

（这里可以在过滤输入框里输入FTP回车后，再对筛选过的包进行分析查看，也可以ctrl+F 查找【字符串】关键字ctrl+F 查找关键字flag或者flag的【十六进制】666c6167进行快速查找，本文用查找flag关键字方法）
。
然后回到数据包刷新一下就可以看到揭秘之后的数据了。因为TLS加密的是http协议，所以解密之后直接过滤http协议就可以了。
查看后可以大致分析出，是用百度网盘下了一个文件，把这个文件导出。（文件→导出对象→HTTP）
导出的文件是一个压缩包，解压后是一个音频文件，使用Audition打开，查看一下频谱帧率，可以看到
用的是audacity 不好用，看不清楚。
使用这个key可以解开刚才那个加了密的压缩文件，解压后拿到一个flag.txt，打开即可获得真正的flag！

5.打开这个文档发现flag竟然是假的。。。好吧，我就知道没有这么简单，但是通过这个提示我们可以知道这个流量包是被加密过的，综合上面得到的key.log不难知道要得到真正的flag需要对这个流量包进行解密
6.虽然没有得到真正的flag，但我们已经知道了接下来的解题方向了，也不算是一无所获。
7.我们把key.log导出（追踪tcp流导出）9.刷新之后出现解密后的流量包，在其中发现了一个隐藏的压缩包，解压出来是一个MP3音频，用Audacity打开，中间有一段杂音，用频谱图查看
发现是有隐藏密码的，提交发现不是flag，于是想到另一个压缩包，输入密码得到flag