拿到資料報使用wireshark開啟後看到protocol 為usb協議,搜到了一篇關於usb流量分析的文章
貼鏈結從ctf中學usb流量捕獲與解析
鍵盤資料報的資料長度為8個位元組,擊鍵資訊集中在第3個位元組,每次key stroke都會產生乙個keyboard event usb packet。
滑鼠資料報的資料長度為4個位元組,第乙個位元組代表按鍵,當取0x00時,代表沒有按鍵、為0x01時,代表按左鍵,為0x02時,代表當前按鍵為右鍵。第二個位元組可以看成是乙個signed byte型別,其最高位為符號位,當這個值為正時,代表滑鼠水平右移多少畫素,為負時,代表水平左移多少畫素。第三個位元組與第二位元組類似,代表垂直上下移動的偏移。
網上查詢usb協議的文件,可以找到這個值與具體鍵位的對應關係第53頁有usb keyboard的對映表 根據這個對映表有寫指令碼解碼得出的資料報貼指令碼nums =keys = open('usbdata.txt')
for line in keys:
if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':
continue
keys.close()
output = ""
for n in nums:
if n == 0 :
continue
else:
output += '[unknown]'
print 'output :\n' + output
執行改指令碼便可得到輸出結果如下:
轉換後會得到一系列座標點,需要輔以gnuplot 或者其他的繪圖工具畫出即可。記一道USB流量分析題
usb hid的初步認識 從ctf中學usb流量捕獲與解析 usb協議的資料部分在leftover capture data域之中,在mac和linux下可以用tshark命令可以將 leftover capture data單獨提取出來 命令如下 tshark r usb1.pcapng t fi...
一道CTF題 sql爆破
題目 開啟網頁 說明存在sql注入。嘗試了一些常見的繞過操作都不行,過濾了注釋 空格,and,select等。嘗試用 11 繞過 頁面正常 頁面正常 頁面正常 報錯 以上測試說明表有四列。測試回顯 union也可以大寫 返回3,說明在第3個位置可控。爆資料庫 得到資料庫test。爆表名 出現表名 c...
記某工控CTF比賽一道ICMP隧道題
某塔的線上比賽平台,最後一道一堆蜜罐,聽說沒flag,反正沒找到。然後看一下其中一道icmp隧道的題目。資料報如圖 當時的考量 響應包有的,請求包也有,並且都一樣,所以請求包的資料是最全的,可以不看響應包。考慮到填充不符合正常的icmp請求應答的填充方式,也嘗試了對資料進行解密,但都無果。兩個通訊i...