流量分析

題目 ：

提示一：若感覺在中間某個容易出錯的步驟，若有需要檢驗是否正確時，可以比較MD5: 90c490781f9c320cd1ba671fcb112d1c
提示二：注意補齊私鑰格式
—–BEGIN RSA PRIVATE KEY—–
XXXXXXX
—–END RSA PRIVATE KEY—–

解答 ：
怎么說呢，做完這題，我才知道坑人能有多坑！ 流量分析的題，首先可以發現他的大小很小。不像是那種大流量的分析。 嘗試了一下學長之前推薦的一款工具《科來網絡分析系統》

可以發現ftp傳輸了兩個包。此時，fl-g極有可能是flag。

于是拿wireshark千辛萬苦，提取出來壓縮包。然而….沒有密碼。 只好繼續分析了。因為畢竟misc4了，不可能是密碼爆破啥的吧。

繼續看， 發現一個郵件（不知道科來怎么提文件，查看數據。哭唧唧） wireshark導出IMF對象。可以發現導出了幾個郵件。然后逐個分析。

然而并沒卵用，唯一有點用的，感覺奇怪的，就只有一個郵件。

此時這個不是一點的奇怪！而是很奇怪！那么，這串密鑰。。是干什么的呢。 經過老司機多年開車經驗，呸。做題經驗。

猜測！肯定有https流量。當然，科來也說有了。

于是。。這種之前曾聽說過的題目，現在到了手里還是有些小激動的。 尤其是那個圖片！圖片！圖片！！！！

ocr也不行，手寫也不行。那么多字。心塞ing。 好吧，最后還是百度找了個ocr識別了一下，然后改了幾個字符。。

然后就是解密https流量。具體可以看這個鏈接。 https://blog.csdn.net/kelsel/article/detai...

直接導入私鑰就可以。這里需要按照hint格式來，在前后加上標志位。 然后就可以解密https流量了。

然后搜索ssl，追蹤http流量，最后取得flag