记一道流量分析的题。
    下载附件得到一个pcap的流量包。先放虚拟机strings下( grep | { ),没得到什么有用的信息。
    放wireshark中,发现TCP流量有点多,追踪流,挨个看,中间在第19个流时发现:
    图片.png这不是RSA的密钥嘛,应该是有用的,再往后挨个看追踪流,看了一会,没发现有用信息,导出下HTTP,也没什么东西。
    就没思路了。
    然后参照网上的解法:
    在TCP追踪流处:
    图片.png这里对应的就是流19的RSA的key.
    图片.png 从开始应该发现不光是TCP居多,还有TLS
    图片.png这应该在向FTP服务器传送私钥,我们得到了私钥,就可以解密TLS报文
    把RSA的私钥保存下来。然后导入key.
    图片.png奇怪的是非得在TCP流的80中追踪TSL流才找到flag。图片.png