題目
題目名稱:鍵盤流量 題目類型:MISC
解題思路
題目下載下傳解壓發現是55.pcapng、miwen.txt兩個檔案
miwen.txt内容為base64編碼假flag,檔案大小與實際内容不符,發現txt隐寫了零寬字元
如何發現零寬字元,vim打開檔案,如下圖:
python腳本解密
打開pcap包,發現是usb的鍵盤流量,鍵盤流量的資料記錄在Data中,需要把所有Data資料提取出來,進行十六進制鍵位轉換得出資料包記錄的鍵盤敲擊内容
1、利用wireshark tshark.exe指令提取流量資料,詳情如下:
導出的檔案如下,鍵盤資料存儲在usbhid.data中,将所有的usbhid.data值提取出來
2、利用python編寫的腳本對提取出來的所有usbhid.data轉化生成敲擊内容,腳本原理
内容為
解密
發現miwen是AES加密的密文,需要密鑰進行解密
解密工具
用pleasefindtherealkeyword沒有解密成功
用del删除的位元組發現"keyisyyds"實際密鑰為yyds,解出flag
tshark.exe使用參考