CTF省赛练习笔记（1）流量分析WP

**

CTF省赛练习笔记MISC—流量分析篇

**
一、第三届上海市网络安全大赛
流量分析——traffic
1.下载附件用wireshark打开
2.一开始搜索字符串flag没有发现什么有价值的东西，接下来想到筛选一些流量进行分析，在筛选ftp-data时发现有几条流量都含有flag.zip，想到将他们导出分组字节流。

3.经过分析后发现可以导出的是一个key.log和两个压缩包（key.log能发现这是一份NSS Key Log Format的文件，而这个文件是能解密出 Wireshark 里面的 https 流量的）

4.查看一下压缩包中的内容发现都是经过加密的flag.txt文件，暴力**无法解决后想到了伪加密的方法，于是用010edito进行**，将value由9改为0，结果发现一个是伪加密而另一个不是。

5.打开这个文档发现flag竟然是假的。。。好吧，我就知道没有这么简单，但是通过这个提示我们可以知道这个流量包是被加密过的，综合上面得到的key.log不难知道要得到真正的flag需要对这个流量包进行解密

6.虽然没有得到真正的flag，但我们已经知道了接下来的解题方向了，也不算是一无所获。
7.我们把key.log导出（追踪tcp流导出）

8.再导入**，编辑——>首选项——>ssl

9.刷新之后出现解密后的流量包，在其中发现了一个隐藏的压缩包，解压出来是一个MP3音频，用Audacity打开，中间有一段杂音，用频谱图查看


10.发现是有隐藏密码的，提交发现不是flag，于是想到另一个压缩包，输入密码得到flag