Problem: [深育杯 2021]Flow Hunter
下载附件是一个流量包文件,简单分析一下,先分析一下http流量,简单过滤一下,排个序
重点分析POST请求,urldecode一下
连续分析一下,发现 /secret?后面的数字一直在变化,还有一个类似域名的标志位,请求的信息有点像密文,但是被分隔为5段了,之后就没有信息了,看一下协议分级,发现有dns流量
过滤分析一下dns流量,发现类似之前的域名
在次过滤一下
发现rainbow.bubble域名前面的数字有点像png的文件头,89504E.....
因为这里是请求和响应一起的,我们只要一个就可以了,在次过滤一下,更清楚了
这里直接使用ctf-ly进行提取了,注意这里要提取响应的,请求的这里面会多一个(导致扫码失败),所以一定要提取响应位的信息
之后对数据进行处理,处理之后的数据
扫码即可
根据之前的分析,应该是AES的加密形式,提取那五个数据,之后urldecode之后解密即可,拿到tls解密的文件
之后ctf-ly一把梭了
