ctf流量分析
常用方法
tcp是一块一块的,eq1,2,3,4,5就是可以查看不同的流
1
tcp.stream eq 3
右键-> 追踪流-> TCP Stream可以查看一个完整的tcp流过程细节正常是搜索http然后按照2来查找
tls流
查找tls发现不能查看任何东西,是因为需要
sslkeylog来解密
找到这个sslkeylog之后格式如下(在这个题目中在某个tcp流中存在这个sslkeylog的明文,复制下来如下)
1
2
3
4
5SERVER_HANDSHAKE_TRAFFIC_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 994da7436ac3193aff9c2ebaa3c072ea2c5b704683928e9f6e24d183e7e530386c1dcd186b9286f98249b4dc90d8b795
EXPORTER_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 31882156a3212a425590ce171cb78068ee63e7358b587fed472d45d67ea567d98a079c84867a18665732cf0bfe18f0b0
SERVER_TRAFFIC_SECRET_0 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 1fbf7c07ca88c7c91be9cce4c9051f2f4bd7fb9714920661d026119ebab458db8637089348dd5a92dc75633bdcf43630
CLIENT_HANDSHAKE_TRAFFIC_SECRET 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 a98fab3039737579a50e2b3d0bbaba7c9fcf6881d26ccf15890b06d723ba605f096dbe448cd9dcc6cf4ef5c82d187bd0
CLIENT_TRAFFIC_SECRET_0 9745a631db0b9b715f18a55220e17c88fdf3389c0ee899cfcc45faa8696462c1 646306cb35d94f23e125225dc3d3c727df65b6fcec4c6cd77b6f8e2ff36d48e2b7e92e8f9188597c961866b3b667f405在本题中解密完再次搜索tls找到一张照片
使用
## wireshark分离文件将图片提取出来
wireshark加载sslkeylog
打开 Wireshark,加载你的抓包文件(
File → Open)。进入 TLS 配置:
- 点击菜单栏
Edit(编辑)→Preferences(首选项)。 - 在左侧选择
Protocols,找到并展开TLS(或SSL,取决于 Wireshark 版本)。
- 点击菜单栏
设置
(Pre)-Master-Secret log filename- 点击右侧的
Browse按钮,选择你的sslkeylog.txt文件。 - 确保勾选
Reassemble TLS records spanning multiple TCP segments(优化解密)。
- 点击右侧的
点击
OK保存设置。
wireshark分离文件
[使用Wireshark提取流量中图片方法_wireshark提取图片-CSDN博客](https://blog.csdn.net/imtech/article/details/134575827
wireshark直接导出
文件-> 导出对象 ->http选择有图片的那个包,导出 可以直接保存为png
找到
Portable Network Graphics显示分组字节
ftp格式
查找传输了什么东西
1 | ftp-data |
追踪tcp流,感觉像是一个zip的文件,下面的编码选择原始数据/HEX,不要使用ASCII,然后保存导出得到1.zip
过滤出https
1 | tcp.port == 443 && tls |
添加ssc.key
进入 TLS 配置:
- 点击菜单栏
Edit(编辑)→Preferences(首选项)。 - 在左侧选择
RSA密钥,找到add new keyfile...
- 点击菜单栏
选择对应的密钥文件
telnet查找报文中的东西有什么用
1 | tcp.port == 23 && frame contains "key1" |
