记一道TLS加密流量分析

2025磐石行动的一道题

题目：derderjia

第9个流，尝试进行了sql注入，服务器返回报错，暴露了服务器的一些环境信息：

11流：执行了whoami命令：

12流：进一步执行了id命令：

表明Web服务以www-data用户运行（典型的Apache/Nginx默认用户），且权限受限。

13流：

攻击者执行了uname -a 命令，获取了系统内核版本、主机名、CPU架构等敏感信息。

第14流

发现ls命令，可以看到服务器上有四个文件：

第16流：

这里将一个字符串，看上去很像flag的东西写到/tmp/proof.txt里：

19流：cat到了server_key的内容:

SERVER_HANDSHAKE_TRAFFIC_SECRET 8736827acbd4e800d94e5bc87cdbab64f0d77fc6724acda32a7ee24f7c60db50 9f78e4604953f8aab6623774bd88a9720fde4d6303619847242c0cd00c64ff2644b83823dee3e08577552389d5af52de
EXPORTER_SECRET 8736827acbd4e800d94e5bc87cdbab64f0d77fc6724acda32a7ee24f7c60db50 54b708ed18540ab2b7b7b54d49692a07ccc9dd7ec34a1e3df4ecdc3c53146f799d794ab805cf9b21c08d464aeff64f42
SERVER_TRAFFIC_SECRET_0 8736827acbd4e800d94e5bc87cdbab64f0d77fc6724acda32a7ee24f7c60db50 486c14091928a932ff17e9cd52111548837f0b6cbe372264086f45d668862e4c0ea792cbbd9bfba1468834f5eebd5f69
CLIENT_HANDSHAKE_TRAFFIC_SECRET 8736827acbd4e800d94e5bc87cdbab64f0d77fc6724acda32a7ee24f7c60db50 c89356f603c98d9257b9391dde781e115f6133d4d9c9be704d77843f7cb9ec82488c46195660b5059ca742bd1da01c17
CLIENT_TRAFFIC_SECRET_0 8736827acbd4e800d94e5bc87cdbab64f0d77fc6724acda32a7ee24f7c60db50 6f3912fd7864676affa95e344a8fcbd1d2f452c0b00b7969bffff93a9149313a2d07438164dbc3d36de6888b3bee4e9c
SERVER_HANDSHAKE_TRAFFIC_SECRET ce5146a2783f8a34f0acbc25e2d2203d65ae09be6cc1ebbc5c5aa782149d3fbf afa6b2942173a3137105ad1a7318413c4555f39be24d98363eb934d9d4673b0c4846efad533da90549db01826c26963e
EXPORTER_SECRET ce5146a2783f8a34f0acbc25e2d2203d65ae09be6cc1ebbc5c5aa782149d3fbf 9334222dde7ed136e73d4ded2af66fab4cd2ed099a438e60ad221d1e0e95e3e694b98b2e45a7444d4f2d38213e64981e
SERVER_TRAFFIC_SECRET_0 ce5146a2783f8a34f0acbc25e2d2203d65ae09be6cc1ebbc5c5aa782149d3fbf 213d59d6262f24428d0daf8ee557d7cc0a776aaffc5e706c3a5871d61f83e90d1932586c463a1452fc4d0a491e500d55
CLIENT_HANDSHAKE_TRAFFIC_SECRET ce5146a2783f8a34f0acbc25e2d2203d65ae09be6cc1ebbc5c5aa782149d3fbf bfc79bee6244302f1a0091e6cd289131ede8f17a0d42f09b32970a1091002db1cf1b10cf0b1e1097490daacbc8c53aef
CLIENT_TRAFFIC_SECRET_0 ce5146a2783f8a34f0acbc25e2d2203d65ae09be6cc1ebbc5c5aa782149d3fbf d93ae56aa54258dc541f74ae06b137bdffb00b18f0b3bffadf0a7999b6f71fde5257e1209d08a9765bccf5f7c25c6a76

那么目标应该是通过密钥解密TLS加密流量：

解密后观察TLS流量，

多出来一个虚假flag：

以及第17流：

这是/upload,也就是攻击者上传的文件！这里的PK很明显是zip的文件头，我们将其导出：

可以看到压缩包里面是一张图片，但是被加密了：

压缩包文件尾后面有一串信息：

uwpn2quR2tAJASs9yIcWOV，但是并不是密码，没有用

之后，流量包中，发现了两个dns协议流量，分别有一半的base64加密数据：

进行解密得到：

Good! You Find it PanShi2025!

尝试之后，发现“PanShi2025!”就是压缩包密码！

解压得到图片：

放到随波逐流，发现宽高修改，一把梭得到flag：

flag{W0w_Y0u_F0und_M3!}