題目
題目名稱:鍵盤流量 題目類型:MISC
解題思路
題目下載下傳解壓發現是55.pcapng、miwen.txt兩個檔案
miwen.txt内容為base64編碼假flag,檔案大小與實際内容不符,發現txt隐寫了零寬字元
如何發現零寬字元,vim打開檔案,如下圖:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsISPrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdsATOfd3bkFGazxCMx8VesATMfhHLlN3XnxCMwEzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5iZxADOiV2MwIWZlJTM0MTNzgDOxETMmZGN5QjM1EGZ48CX1IzLchDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjL5M3Lc9CX6MHc0RHaiojIsJye.png)
python腳本解密
打開pcap包,發現是usb的鍵盤流量,鍵盤流量的資料記錄在Data中,需要把所有Data資料提取出來,進行十六進制鍵位轉換得出資料包記錄的鍵盤敲擊内容
1、利用wireshark tshark.exe指令提取流量資料,詳情如下:
導出的檔案如下,鍵盤資料存儲在usbhid.data中,将所有的usbhid.data值提取出來
2、利用python編寫的腳本對提取出來的所有usbhid.data轉化生成敲擊内容,腳本原理
内容為
解密
發現miwen是AES加密的密文,需要密鑰進行解密
解密工具
用pleasefindtherealkeyword沒有解密成功
用del删除的位元組發現"keyisyyds"實際密鑰為yyds,解出flag
tshark.exe使用參考