從一道流量分析題了解SSL與FTP協議

0x00 前言

最近做了一道流量分析的題目，從裡面了解到有關SSL以及FTP協議的一些知識點，跟大家分享一下，希望大家也能從中學習到一定的東西。

0x01 題目描述

一家安全公司開發的人工智慧系統已經叛變，為防止機械大戰。我們要找到叛變AI的計劃，所幸我們在敵人後方安插了間諜，他已經捕獲了敵人的通信報文，你所需的所有內容應該都能從中找到。答案格式INS

題目鏈接：https://pan.baidu.com/s/1WAK2mGVUDDNpCBrd0nekrA 密碼：2tp8

0x02 正文

首先我們做流量分析的題目，一般先看統計裡面的協議分級，這裡我們可以看到看應用層的協議主要有smtp,ssl，以及很少的http,ftp

SSL協議是一種處於應用層和傳輸層之間的加密協議,而且是四次握手協議。更詳細的描述可以看下下面這篇文章

https://blog.csdn.net/volcan1987/article/details/8996220

這裡我們還需要了解一點的是當我們作為一個中間人抓包的時候，其實很多http協議被封裝在SSL協議裡面，在沒有導入證書之前我們是看不到加密的http的

這裡我們還看到下面的兩個FTP協議，這裡我們就來了解一下FTP協議，默認情況下FTP協議使用TCP埠裡面的20和21埠，其中20用於傳輸數據，21用於傳輸控制信息，簡單點理解21就是用來傳輸登錄信息之類的，20埠就是用來傳輸驗證完以後的信息。所以上圖的FTP Data對應的就是20埠，而下面的File Transfer Protocol對應的就是21埠。

根據上面的知識點，我們作為中間人並不知道秘鑰，這裡就沒有頭緒了，突然想起好像還有FTP協議沒有查看，再想想用郵箱傳東西有些大的文件不可能只用smtp協議傳輸，可能利用了FTP傳輸了。

過濾FTP再追蹤流，發現裡面有幾個點可以利用的

用戶名，密碼，域名，還有一個密鑰，這個域名嘗試過不能夠登錄，只能從那個文件名為ssc.key的密鑰下手

而且在這個流裡面發現是21埠傳輸的，會像上面提及的知識點，可能文件詳情在20埠，這裡我們用ftp-data過濾，我們也可以用tcp.port==20過濾，追蹤流發現裡面是一個私鑰文件

保存下來並命名為ssc.key

下面我們就可以看SSL協議裡面的內容了

接著正是導入密鑰文件

編輯好信息

因為我們知道flag的格式，所以直接用命令http contains "INS"過濾得到結果。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！