第一个题:(流量分析)(http)
%22代表的是url表中的‘
(这一个图里面的是php语言 PHP file_get_contents() 函数)
b函数证明括号里面一定是base64的编码
看数据信息的方法 右键然后追踪流(tcp和http)
一组请求与相应
然后查看相应中的内容:
见图
见图
200ok里面有东西
写一个脚本来将数组进行转换
这个是脚本:内容
见图
第二个题
这个流量包很大 有20mb 大几率不是传送几个图片或者几个脚本 一般来说是很大的文件
包括上传的文件以及一些东西 都
1.先通过协议进行一个排列(点击protocol)
2.寻找http包(例如响应包或者是post等等),(一个没找到东西就找下一个)
见图(是tcp追踪流??)(没找到的话就点击右下方的流然后一个个往下面看)
发现传送了一个rar的数据包
第二个方法来找到这个包:统计-》conversation-》可以看到tcp有27个流 然后点击标题大小排(再点击followstream)
把rar导出(但是不能用分组导出字节流,因为分开传)
so 在这个tcp界面 由于与不可见字符(在ascii下是点)选择原始数据
然后等他全都加载完 然后save asrar 然后用winhex来截取部分,在上面的部分给删掉
在21流已经把数据传输过去了 因此加密在21之前
见图(20)先进行urldecode 20不是就
!!!这里他操作的很快(就是将很多编码都进行解码然后提取 真的到了这种题这块可以再看看)
见图(18有内容了)
hp命令就是加密文件头
他做的是 先转到目录 然后。。。
1.08
第三道题:(里面有tls ssl因此是https 首先需要把s处理了 因此要把他的密钥搞到)
1.https暂时解不开 但里面还有ftp smtp等等
见图 然后保存为原始数据但是发现没什么用 因此ftp里面东西没啥用
2.看smtp(有IMF)
流量分析总结:
binwalk压缩包比较少 快速定位(大文件会乱了头绪) wiresharkctrl+f
第四题(lx100一个补充的题目)
