CTF之流量分析之密码文件

题目地址：BUUCTF在线评测

题目：

深夜里，Hack偷偷的潜入了某公司的内网，趁着深夜偷走了公司的秘密文件，公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量，但是却无法分析出Hack到底偷走了什么机密文件，你能帮帮管理员分析出Hack到底偷走了什么机密文件吗？ 注意：得到的 flag 请包上 flag{} 提交

解题：

1、下载附件，并使用wireshark打开

 2、统计-协议分级，发现存在FTP流量

 3、筛选ftp协议，并追踪TCP流量，发现下载的压缩包

4、ftp.request.command 查看请求的命令

可以看到用户名、密码以及下载的文件

5、使用ftp-data过滤器查看来自FTP数据通道的流量（FTP分为两个通信通道，一个传输命令，一个传输数据）

但是没有流量

 6、如果有流量，就追踪TCP流，然后将默认数据保存格式为ASCII，需要修改为原始数据，选择另存为。就可导出压缩包。

 7、导出发现的rar压缩包

方法一：使用wireshark的导出对象功能

文件—导出对象—选择协议

好像不能导出ftp流量内的文件

只能导出http流量内的文件，选中想要保存的文件，点击save，即可保存成功，但是保存的文件中还有大量的流量数据包，需要手工删减。

 方法二：手动导出

见上文

方法三：使用文件还原分离工具binwalk分离文件

 方法四：使用文件还原分离工具foremost

foremost  文件名

-i       指定输入源文件

-t       指定提取的类型，指定什么类型就只会提取什么类型的文件

-o     指定输出文件夹

 8、没有在流量中找到相关密码线索，尝试爆破。

 9、解压后得到flag