Misc300-流量包分析

题目提示是说小黑被偷了什么文件之类的,所以可能就是要导出文件,先查看http流.
无意中发现有个网盘地址,先去把它的东西下载下来.


是一个QQ.chm文件打开.

查找这个用户.在其空间日志下翻到一篇日志,名字是pem,感觉是个秘钥文件,先保存为pem后缀的文件.

流量包里面有ssh连接,查看数据包下的tcp流感觉ssl被加密了,只有这个是最可能的情况.所以把这个秘钥用来解开ssl加密.可以直接在wireshark中配置解密.这个地方有个ip不好写,全部测试下也是可以的.不过可以根据流量包来看10.211.55.13的ip就是小黑的.
去找这个ip的http数据跟踪ssl流.发现有4个压缩文件.

再次导出http流.就能发现有一大堆相似的文件,全部保存下来.

因为是四个压缩文件,所以锁定了这四个大小一样的文件.因为是pk的,所以变成zip后缀.得到压缩文件.解压.

发现有个这个东西,用文本打开.前面没有看出什么端倪,拉到下面就会发现有一大串像加密的东西.

Base64加密的图片.因为有好多段,先复制第一段,解密.

根据这题目的套路,直接去解密最后一张图片,应该就能得到flag了.

得到flag:
sctf{wo_de_mi_ma_123xxoo}