Ada yang membajak komputerku, nih. Untung komputerku ada logger keyboardnya. Tolong bantu aku mencari tahu apa yang dilakukan pembajaknya di komputerku.
Buka file pcapng menggunakan wireshark, lalu pilih menu Statistics > Capture File Properties untuk melihat properti file.
Di sini kita dapat melihat terdapat 17422 paket yang diterima dan waktu yang dibutuhkan yaitu selama 1 menit 25 detik. Selanjutnya, saya coba melihat Protocol Hierarchynya
Terlihat 0,7% paket merupakan text item, lalu saya Apply as Filter. Namun setelah dilihat-lihat, tidak ada clue atau flag yang dicari. Kemudian saya memasukkan filter berikut
usb.transfer_type == 0x01 and frame.len == 35 and !(usb.capdata == 00:00:00:00:00:00:00:00)
*) usb.transfer_type == 0x01 digunakan untuk menampilkan jenis transfer data Interrupt yang biasanya digunakan pada mouse dan keyboard. (0 → isochronous, 1 → interrupt, 2 → control, 3 → bulk). 1
Kemudian tambahkan Leftover Capture Data sebagai kolom sehingga tampilannya menjadi seperti berikut
Selanjutnya, export hasilnya sebagai file csv lalu jalankan command berikut untuk mendapat nilai hex dari Leftover Capture Data
cat log.csv | cut -d "," -f 7 | cut -d "\"" -f 2 | grep -vE "Leftover Capture Data" > hexoutput.txt
Kemudian saya membuat kode Python yang bisa dilihat DI SINI
*) referensi keymap pada kode program dapat dilihat di file ini (halaman 53)
Bila diperhatikan outputnya, terdapat sebuah link yang jika ditulis ulang menjadi seperti berikut: https://bit.ly/3HXKM88 yang menuju ke situs Mega, layanan cloud dan hosting, dan isinya adalah file zip bernama flag. File zip tersebut memiliki file flag.txt di dalamnya. Setelah saya download dan buka filenya, ternyata file tersebut memerlukan password. Tadinya saya mau coba metode brute force tapi saya rasa hint passwordnya bisa saja sudah diberikan. Perhatikan lagi output di atas, setelah link bit.ly terdapat 2 buah string, yaitu "apaniapaayaaa" dan "swiwiwiwiiwwiuuuu". Pertama, saya coba "swiwiwiwiiwwiuuuu" tapi tidak bisa, lalu saya coba "apaniapaayaaa" dan akhirnya saya bisa mendapatkan file flag.txt-nya.
hackfest0x5{suddenly_there_will_be_in_front_of_your_eyes_a_new_world_qridh85p0r}
🏷️tags: PCAP, key stroke
- Logger [easy] - HackTheBox Forensics Challenge
- Universal Serial Bus HID Usage Tables (page 53)