wireshark解密IPSEC加密过的流量
题目是安恒二月月赛题目:简单的流量分析
1.首先会发现很多esp类型的流量
我们不知道密钥就没有办法解密,猜测密钥肯定是在流量包里面的。
加密流量在786到1583之间
2. abc.html
md5 0x99a98e067af6b09e64f3740767096c96 DES 0xb19b21e80c685bcb052988c11b987802d2f2808b2c2d8a0d (129->143) DES 0x684a0857b767672d52e161aa70f6bdd07c0264876559cb8b (143->129)
3.官方的esp配置https://wiki.wireshark.org/ESP_Preferences
翻译过来后读了一下,需要的是源,目的地址,SPI,加密算法和密钥,认证算法和密钥。
根据支持的加密算法和身份认证算法,这个题目中的加密算法是3DES(64*8=192位密钥),身份认证就是md5了。
4.配置esp选项
5.重新看783-1583之间的流量,发现解密了。
从1297开始get请求的url中最后的ascii拼接一块成为flag