MISC基础篇-流量分析

本文用来记录我的流量分析学习之路，主要包括自己遇到的一些题目和学习大佬博客学到的一些东西，之前的流量分析一直都是零零碎碎的学的，这次准备做一个整合，以后也会在遇见新题型时实时更新(●⁰౪⁰●)
参考：
Misc-Network Traffic Analysis - ⚡Lunatic BLOG⚡

USB流量分析

键盘流量分析

在键盘流量分析中，最重要的就是8字节的usbhid数据，我们的目的就是提取出这些hid数据，然后我们便可以还原出按键记录。
需要注意的是，有些题目会用<DEL>按键，如果忽略该按键就会不知道出题人删除了哪些数据。

Webshell流量分析

冰蝎流量分析

冰蝎的默认密钥：e45e329feb5d925b（该密钥为默认连接密码rebeyond32位md5值的前16位）
在流量包中寻找木马时，可以使用下面语句进行过滤：

http.request.method=="POST"

找到最可疑的流量，然后右键追踪流，大概率能够看见加密代码

我们通过加密代码可疑确定，该木马进行了AES128+BASE64的加密，因此我们可以使用密码对数据包进行解密，一般是AES-CBC模式，IV是：

IV = \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

再还原得到的BASE64数据一般就能得到想要的信息。