TJCTF 2018 Ssleepy write-up

I found this super suspicious transmission lying around on the floor. What could be in it?

먼저 패킷 파일을 열어보면 FTP통신하는것을 볼 수 있는데요 한번 봅시다.

TCP Stream을 통해 보면 key.zip파일을 받은것을 볼 수 있습니다.

PK 압축파일을 찾았습니다.

RAW데이터로 바꿔서 Save해줍니다.

압축을 풀어서 보면 pem파일이 있는데요 개인키가 담겨있습니다.

이 개인키로 SSL패킷을 decrypt해 줍니다

Edit > Preference > Protocol > SSL 에서 RSA keys list를 수정해 줍니다.

그 다음 flag.jpg를 다운받는 패킷을 SSL Stream으로 열어보면

TJCTF{WIRESHARK_OR_SHARKWIRE?}