记一道USB流量分析CTF题

记一道USB流量分析CTF题USB流量分析

大家好,又见面了,我是你们的朋友全栈君。

拿到数据包使用wireshark打开后看到Protocol 为USB协议,搜到了一篇关于USB流量分析的文章

贴链接
从CTF中学USB流量捕获与解析

下面看题

这里写图片描述

USB协议的数据部分在Leftover Capture Data域之中,在Mac和Linux下可以用tshark命令可以将 leftover capture data单独提取出来 命令如下:

tshark -r usb1.pcapng -T fields -e usb.capdata > usbdata.txt

运行命令并查看usbdata.txt 发现数据包长度为八个字节

这里写图片描述

这里查到USB流量分为键盘流量和鼠标流量。

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次key stroke都会产生一个keyboard event usb packet。

鼠标数据包的数据长度为4个字节,第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。

这里数据包长度是八个字节显然为键盘数据包

网上查找USB协议的文档,可以找到这个值与具体键位的对应关系http://www.usb.org/developers/hidpage/Hut1_12v2.pdf

第53页有usb keyboard的映射表 根据这个映射表有写脚本解码得出的数据包

这里写图片描述

贴脚本

mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }
nums = []
keys = open('usbdata.txt')
for line in keys:
    if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':
         continue
    nums.append(int(line[6:8],16))
keys.close()
output = ""
for n in nums:
    if n == 0 :
        continue
    if n in mappings:
        output += mappings[n]
    else:
        output += '[unknown]'
print 'output :\n' + output

运行改脚本便可得到输出结果如下:

这里写图片描述

另附鼠标流量数据包转换脚本

nums = [] 
keys = open('data.txt','r') 
posx = 0 
posy = 0 
for line in keys: 
if len(line) != 12 : 
     continue 
x = int(line[3:5],16) 
y = int(line[6:8],16) 
if x > 127 : 
    x -= 256 
if y > 127 : 
    y -= 256 
posx += x 
posy += y 
btn_flag = int(line[0:2],16)  # 1 for left , 2 for right , 0 for nothing 
if btn_flag == 1 : 
    print posx , posy 
keys.close()

转换后会得到一系列坐标点,需要辅以gnuplot 或者其他的绘图工具画出即可。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/144077.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • java jersey,java Jersey

    java jersey,java Jersey场景:用Jersey构建RESTful服务3-JAVA对象转成JSON输出用Jersey构建RESTful服务3–JAVA对象转成JSON输出一、总体说明XML和JSON是最为常用的数据交换格式。本例子演示如何将java对象,转成JSON输出。二、流程1.在上文项目中,在“com.waylau.rest.resources.UserResource“中增加代码,代码如下:@GET@Path(…

  • BS架构与CS架构的区别(最详细)「建议收藏」

    BS架构与CS架构的区别(最详细)「建议收藏」BS架构与CS架构的区别引言特点C/S系统结构B/S系统结构CS与BS的比较C/S与B/S区别:现状与趋势(转自知乎)引言C/S结构,即Client/Server(客户机/服务器)结构,是大家熟知的软件系统体系结构,通过将任务合理分配到Client端和Server端,降低了系统的通讯开销,可以充分利用两端硬件环境的优势。早期的软件系统多以此作为首选设计标准。B/S结构,即Browse…

    2022年10月17日
  • java发送邮件-模板

    java发送邮件-模板今天写完了一个关于使用模板发送邮件的代码,作为例子保存着,希望以后用得着,也希望能够帮助到需要帮助的人以163网易邮箱为例,使用java发送邮件,发送以邮件时使用模板(.ftl文件转换为html)发送邮件内容,并附带上附件,可抄送给多个人。项目的结构目录如下邮箱配置文件mail.properties参数如下#mailsendersettings#forexample:smtp.1

  • 通俗理解动态库与静态库区别是什么_动态ip和静态ip哪个好

    通俗理解动态库与静态库区别是什么_动态ip和静态ip哪个好引:最近做了算法产品化相关的一些工作,其中涉及到算法库封装的相关工作,封装为动态库。总结动态库和静态库区别和对应使用原则。区别:静态库和动态库最本质的区别就是:该库是否被编译进目标(程序)内部。分别介绍:静态(函数)库一般扩展名为(.a或.lib),这类的函数库通常扩展名为libxxx.a或xxx.lib。这类库在编译的时候会直接整合到目标程序中,所以利用静态函数库编译成…

  • 关于tomcat闪退的问题的解决办法[通俗易懂]

    关于tomcat闪退的问题的解决办法[通俗易懂]无论是从目录中双击startup.bat,还是利用cmd命令又或者利用shell命令启动tomcat,若出现闪退,均归为此问题.解决办法:先检查是否有8080端口被占用,绝大多数情况都是这个原因.windows打开cmd,输入命令netstat-ano|findstr8080,找到所有占用8080端口的进程,记住它们的pid序列号(最右边的数字).继续输入命令taskkill[\f]\pid要删除的pid号,如果不能结束进程,再输入\f在对应未知.输入命令netst

  • JSP页面运行却显示源码

    JSP页面运行却显示源码使用SpringMVC跳转页面,但是页面显示的缺失JSP源码,如下:通过网上查找各种原因,最后找到解决方法,如下:问题是因为在web.xml文件中的”/*”,用该形式访问jsp文件时,星号“*”会把*.jsp,*.sql,*.txt都当做txt处理。结果就是直接在浏览器加载了jsp源码。所以,只要把星号“*”去掉,改为别种访问形式。如“。do”、“/…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号