• usb鍵盤流量分析

傳送門：https://ctf.bugku.com/challenges/detail/id/179.html

winhex 開啟，在檔案尾發現一行文字：pay attention,After encryption is fsjcwymauudmwogqbdrsd

不管怎麼樣先 binwalk 一下，發現有個 zip，然後 foremost 得到它，解壓後拿到一個 pcap 檔案、一個 flag.rar、一個 txt，rar 解壓需要密碼，txt 如下：

我看不懂但我大受震撼，總之先去找找密碼

開啟 pcap 檔案，很明顯這是一個 usb 流量包

直接用指令碼提取鍵盤輸入資訊（下載地址：

thkepeasyswoirdsnotuhesreb?6

得到：thepasswordnothere？

不對勁，翻翻題目看到評論區裡出題人友情提示：

所以回頭看那個 txt，發現關鍵資訊

也許
只有在真正失去以後
才會懂得什麼最重要
當然，並不是所以失去的，都是值得珍惜的，最後失去的往往並不令人回味。

“也許 只有在真正失去以後 才會懂得什麼最重要”

所以提取出來的資訊裡刪掉的內容才是關鍵，也就是：keyisusb6

“當然，並不是所以失去的，都是值得珍惜的，最後失去的往往並不令人回味。”

所以刪掉 "6" 得到 keyisusb

現在知道了 key 是 usb，加密後的密文是 fsjcwymauudmwogqbdrsd，接下來就要尋找是什麼加密方式

去聽一聽歌，發現在歌的結尾部分有異常，audacity 開啟檔案，切換到對數座標頻譜圖，調整一下引數讓這部分清晰一些可以發現：

得到 Beaufort Cipher，百度一下得知這是一種類似於維吉尼亞密碼的古典替換密碼，以及搜到線上解密網站：https://www.dcode.fr/beaufort-cipher

於是解密得到：passwdishappyeveryday

所以壓縮包密碼為 happyeveryday，解壓得到 flag

bugku{What_a_enjoyable_music}