前言:
有时候得到的文件后缀为pcap、pcapng等流量包的题,则需要我们分析流量包找出flag。
一、无线流量数据爆破
打开wirshark分析,发现都是那种WLAN的包,则可以判断为无线密码加密。
命令:aircrack-ng <包文件> -w <密码本>
即可得出无线密码
二、USB流量分析
wirshark打开发现协议都是usb数据,则可以认为是鼠标或键盘数据,再点开发现Capture Data数据项为8字节(每个数字为16进制数,占4bit,每两个数字占1字节),而键盘数据为8字节,鼠标数据为4字节。
指令:tshark -r <包名> -T fields -e usb.capdata > test.txt
-r <包名>: 指定要分析的数据包文件。
-e:选项用于指定要提取的字段。
-T fields: 指定输出的格式为字段格式,即只输出指定的字段。这个指令要配环境变量,安装wirshark时候自带tshark工具。
得到键盘usb数据字符串
通过脚本和对应表转换
可以得到:字串:884080810882108108821042084010421
拓展知识:
键盘数据:占8个字节,16个十六进制数
第1字节:8个比特数,每位比特分别代表不同按键,按下为1。
Bit1 Left Control Bit2 Left Shift Bit3 Left Alt Bit4 Left GUI(Windows键) Bit5 Right Control Bit6 Right Shift Bit7
Right Alt Bit8 Right GUI (Windows键) 第2字节:必为00。
第3~8字节:最多一起按输入6个键,为16进制数,以下是转换表。
