非常简单的流量分析 ---- 2019.02安恒

首先用wirkshark打开发现robots.txt,再追踪HTTP流发现了abc.html.

image.png

image.png

查找abc.html,
过滤器：http contains abc.html
附wireshark过滤规则及使用方法
发现了DES和MD5值，先放一边后面有用。

image.png

再继续分析，发现下面是IPSec加密的流量，
IPsec主要由以下协议组成：一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。。

image.png

从刚刚得到的DES值和MD5 来看 ，ESP是用DES加密的，所以我们使用它来还原内容。

image.png

之后过滤http，发现带有ascll码的流量记录，按照顺序转成字符得到flag

image.png

a=[102,108,97,103,123,50,55,98,48,51,98,55,53,56,102,50,53,53,50,55,54,101,53,97,57,56,100,97,48,101,49,57,52,55,98,101,100,125]
flag=''
for i in a:
    flag+=chr(i)
print(flag)