记一道流量分析的题。
下载附件得到一个pcap的流量包。先放虚拟机strings下( grep | { ),没得到什么有用的信息。
放wireshark中,发现TCP流量有点多,追踪流,挨个看,中间在第19个流时发现:
这不是RSA的密钥嘛,应该是有用的,再往后挨个看追踪流,看了一会,没发现有用信息,导出下HTTP,也没什么东西。
就没思路了。
然后参照网上的解法:
在TCP追踪流处:
这里对应的就是流19的RSA的key.
从开始应该发现不光是TCP居多,还有TLS
这应该在向FTP服务器传送私钥,我们得到了私钥,就可以解密TLS报文
把RSA的私钥保存下来。然后导入key.
奇怪的是非得在TCP流的80中追踪TSL流才找到flag。