早上没课没事干,写点不那么耗时间的
题目如上,需要分析流量数据,下载完pcap包拖入wireshark,打开查看一下
都是USB的流量,分析一下数据,大概能够知道:
数据包长度为35
传输方式为中断传输
且需要寻找存在按键输入的流量
那么就可以在wireshark内筛选一下数据了,可以过滤筛选出过滤方式为中断传入、数据包长度为35、存在按键输入的流量,输入usb.transfer_type == 0x01 and frame.len == 35 and !(usbhid.data == 00:00:00:00:00:00:00:00)
过滤成功后,将数据导出保存到filtered.pcap包内,
使用tshark工具,过滤需要的键盘敲击字段,在包内对应的是Leftover Capture Data,对应参数为usb.capdata,输入tshark -r filter.pcapng -T fields -e usb.capdata,从文件中提取所有数据包中的usb.capdata字段,并将其输出到终端
将数据保存到一个文本文件中,然后再使用一个脚本https://github.com/fa1c0n1/USBkeysTranslator
提取完后即可得到flag
