题目
题目名称:键盘流量 题目类型:MISC
解题思路
题目下载解压发现是55.pcapng、miwen.txt两个文件
miwen.txt内容为base64编码假flag,文件大小与实际内容不符,发现txt隐写了零宽字符
如何发现零宽字符,vim打开文件,如下图:
python脚本解密
打开pcap包,发现是usb的键盘流量,键盘流量的数据记录在Data中,需要把所有Data数据提取出来,进行十六进制键位转换得出数据包记录的键盘敲击内容
1、利用wireshark tshark.exe命令提取流量数据,详情如下:
导出的文件如下,键盘数据存储在usbhid.data中,将所有的usbhid.data值提取出来
2、利用python编写的脚本对提取出来的所有usbhid.data转化生成敲击内容,脚本原理
内容为
解密
发现miwen是AES加密的密文,需要密钥进行解密
解密工具
用pleasefindtherealkeyword没有解密成功
用del删除的字节发现"keyisyyds"实际密钥为yyds,解出flag
tshark.exe使用参考