【流量分析】USB键盘与鼠标流量分析

已于 2023-05-07 13:24:55 修改
阅读量9.6k 收藏 89
点赞数 24
分类专栏: 干货笔记 流量分析 解题 文章标签: 计算机网络 wireshark 计算机外设
于 2023-05-06 19:57:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ON_Zero/article/details/130528679
版权

0x00 USB流量包分析

USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。
在CTF中,USB流量分析主要以键盘和鼠标流量为主。
下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。

例子中用到的文件为usb.pcap和usb2.pcap,我一起打包了放在云盘上,链接如下:
蓝奏云-usb.zip

0x01 键盘流量分析

USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节,其中键盘击健信息集中在第三个字节中,相关对应信息如下链接中所示;

  1. 🔗在线-USB HID to PS/2 Scan Code Translation Table
  2. 🔗蓝奏云-USB HID to PS/2 Scan Code Translation Table.pdf
  3. 🔗在线-USB协议中HID设备描述符以及键盘按键值对应编码表
  4. 🔗蓝奏云-USB协议中HID设备描述符以及键盘按键值对应编码表.pdf

如下所示,在使用wireshark捕捉到的流量中,我们主要看第三个字节的内容,将它与按键值相对以得出按键内容。
在这里插入图片描述
在这里插入图片描述

题目背景

安全测评人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag{xxxxxx}。

解题思路

使用 kali linux中的tshark命令把cap data 提取出来,
根据《USB键盘协议中的键码》中的HID Usage ID将数据还原成键位;

1 使用命令tshark把cap data 提取出来

🔗tshark-wireshark官方文档
在这里插入图片描述

Linux中使用tshark

安装:sudo apt-get install tshark
tshark -v
tshark -h

tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt
  
  -r:设置tshark 分析的输入文件
  -T:设置解码结果输出的格式。包括fields,text,ps,psml和pdml,默认为text

如图可以看到生成了usbdata.txt

在这里插入图片描述

Windows中使用tshark

wireshark在安装时会自带一些工具,tshark便是其中之一,它可以在wireshark的安装路径中找到。
在这里插入图片描述

#使用cmd或powershell进入安装路径后,执行以下命令
.\tshark.exe -r D:\Downloads\usb.pcap -T fields -e usb.capdata >D:\Downloads\usbdata.txt

在D:\Downloads\目录下便可看到文件usbdata.txt,此时的文件还有着默认的空行,我们使用脚本(或其他方式)删除空行

#使用脚本删除空行
with open('usbdata.txt', 'r', encoding='utf-8') as f:
    lines = f.readlines()
lines = filter(lambda x: x.strip(), lines)
with open('usbdata.txt', 'w', encoding='utf-8') as f:
    f.writelines(lines)

2 将文件用冒号进行分隔

#将上面的文件用脚本分隔,加上冒号;
f=open('usbdata.txt','r') 
fi=open('out.txt','w')
while 1:
  a=f.readline().strip() 
  if a:
    if len(a)==16:#键盘流量的话len为16鼠标为8 
      out=''
      for i in range(0,len(a),2):
        if i+2 != len(a):
          out+=a[i]+a[i+1]+":" 
        else:
          out+=a[i]+a[i+1] 
      fi.write(out) 
      fi.write('\n') 
  else: 
    break 
fi.close()

在这里插入图片描述

3 最后用脚本提取

#最后用脚本提取
   # print((line[6:8])) #输出6到8之间的值
   #取出6到8之间的值
mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }
nums = []
keys = open('out.txt')
for line in keys:
    if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':
         continue
    nums.append(int(line[6:8],16)) 
keys.close()
output = ""
for n in nums:
    if n == 0 :
        continue
    if n in mappings:
        output += mappings[n]
    else:
        output += '[unknown]'
print 'output :\n' + output

在这里插入图片描述

flag{7200[DEL]53[DEL]93}

0x02 鼠标流量分析

USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。
其中,
第一个字节代表按键,当取0x00时,代表没有按键,为0x01时,代表按左按键,为0x02时,代表当前按键为右键;
第二个字节可以成是一个signed byte类型,其最高位为符号位,当这个值为时,代表鼠标水平右移动多少像素,为时,代表水平左移多少像素;
第三个字节与第二个字节类似,代表垂直上下移动的偏移。
在这里插入图片描述

如图0x00002000,表示鼠标垂直向上移动20。

题目背景

flag藏于usb流量中,通过USB协议数据中的鼠标移动轨迹转换成flag

解题思路:

1 使用命令tshark提取数据

tshark命令如下:

tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

在这里插入图片描述

2 将文件用冒号进行分隔

#将上面的文件用脚本分隔,加上冒号;
f=open('usbdata.txt','r') 
fi=open('out.txt','w')
while 1:
  a=f.readline().strip() 
  if a:
    if len(a)==8:#键盘流量的话len为16鼠标为8 
      out=''
      for i in range(0,len(a),2):
        if i+2 != len(a):
          out+=a[i]+a[i+1]+":" 
        else:
          out+=a[i]+a[i+1] 
      fi.write(out) 
      fi.write('\n') 
  else: 
    break 
fi.close()

在这里插入图片描述

3 使用脚本提取坐标数据

nums = []
keys = open('Python\\USBread\\mouse\\out.txt','r',encoding="utf_16")
f = open('Python\\USBread\\mouse\\xy.txt','w',encoding="utf_16")
posx = 0
posy = 0
for line in keys:
    # if len(line) != 11:
    #     continue
    x=int(line[3:5],16)
    y=int(line[6:8],16)
    if x>127:
        print ("aaa")
        x-=256
    if y>127:
        print ("bbb")
        y-=256
    posx += x
    posy += y
    btn_flag = int(line[0:2],16) #1 for left,2 for right , 0 for nothing
    if btn_flag == 0:#此处的0可以修改为0(未按按键)、1(左键)、2(右键),将单独输出相应坐标文件。
        print (posx,posy)
        f.write(str(posx))
        f.write(' ')
        f.write(str(posy))
        f.write('\n')
f.close()

在这里插入图片描述

4 将坐标转换成图片

from PIL import Image
img = Image.new('RGB',(2000,2000),(255,255,255))#创建Image对象
f =open('xy.txt')#xy.txt文件 
for line in f.readlines():
    point =line.split()
    img.putpixel((int(point[0]),int(point[1])),(0,0,0))#读取文件中的每一行,并修改像素 
f.close() 
img.show()

在这里插入图片描述

Wuyong_12
关注
专栏目录
USB键盘流量分析
BvxiE的博客
07-17 2905
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
USB流量分析
qq_38680693的博客
11-20 5410
1. USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动与点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。2. 题目wireshark打开数据包后发现为usb协议 USB协议数据部分在Leftover Capture Data域中,使用tshark命令将其单独提取出来tshark -r udn.pcapng -T fields -e usb.capdata > us
knm:鼠标键盘流量包取证
05-29
knm 鼠标键盘流量包分析取证 author:、 环境要求 python库 matplotlib tqdm tshark(作者还没研究明白pyshark,暂时只能先靠着tshark提取。别问,问就是DizzyK菜,没得洗呜呜呜) 安装方法 pip install -r requestment.txt apt-get install tshark 使用方法 python knm.py <cmd> [arg] [opts] cmds: pca(p) <pcadile> (<outfile>) 转换pca的USB流量为data(文件) keyboard(k) <datafile> (<outfile>) 识别提取出的data(文件)并还原data(文件)为键盘输入内容 mous
ctf流量分析练习二
gclome的博客
09-06 3585
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
从0开始学杂项 第八期:流量分析(2) 数据提取
最新发布
CHTXRT的博客
09-03 918
主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取
记一次CTFUSB流量分析
fjh1997的博客
04-29 7468
最近在研究鼠标流量,找到如下的文章: https://www.cnblogs.com/hackxf/p/10670844.html 根据这个师傅的说法,不同的鼠标抓到的流量不一样,一般的鼠标流量是四个字节,第一个字节表示按键指示左键右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。第三个字节表示垂直位移,为正(小于127)是向上移动,为负...
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的 传输内容等一系列信息。
键盘流量分析
xiaokerwnrwn的博客
03-18 1498
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,与人体输入设备相关的数据,比如鼠标键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析USB流量分析的一种。
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 1384
附件是一个USB流量文件。
UsbKeyboardDataHacker:USB键盘流量包取证工具 , 用于恢复用户的击键信息
05-11
用法 Usage : python UsbKeyboardHacker.py data.pcap Tips : To use this python script , you must install the tshark first. You can use `sudo apt-get install tshark` to install it Author : WangYihang If you have any questions , please contact me by email. Thank you for using. 例子 第一步:获取数据 sun@ubuntu:~/UsbKeyboardDataHacker$ tsha
USB端口实时监控软件
08-28
USB口监控软件,详细在此不再说明,具体使用看吧,很好用的。
knm-master提取usb流量脚本
01-18
【knm-master提取usb流量脚本】是一款专用于分析USB设备流量的工具,它通过Python编程语言实现,能够帮助用户捕获并解析USB接口上的数据包。这个脚本的使用对于那些需要监控或分析USB设备通信行为的场景非常有用,...
ctf php 流量分析题,2020天津市ctf大赛之usb数据包流量分析
weixin_35949064的博客
03-09 663
1.鼠标流量分析1.常用命令tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出来的数据有空行,可以将命令改为如下形式:tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出来的数据没有冒号,可以用脚本来加上冒...
misc——流量分析usb(2)
2301_81864699的博客
06-19 1038
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
hid键盘报告格式
a65135793的博客
05-11 5100
BYTE1 -- 特殊按键        |--bit0:   Left Control是否按下,按下为1          |--bit1:   Left Shift  是否按下,按下为1          |--bit2:   Left Alt    是否按下,按下为1          |--bit3:   Left GUI(Windows键) 是否按下,按下为1          |--b...
某行业攻防培训-----流量分析之-----USB鼠标右键)
qwsn
10-30 2908
0x01:题目链接 题目百度网盘链接 提取码 https://pan.baidu.com/s/1ybF2h_LKzIP99aKSVkUvTw 8fwo 0x02:题目分析 题目 怎么做呢? 流量分析之-----USB鼠标右键) 记住usb流量之鼠标右键的解题的套路即可 0x03:WP 1.使用tshark命令把,该流量分析包,输出为一个名为us...
网站流量分析系统具体需求与建模
05-22
网站流量分析系统是用于统计分析网站访问量、用户行为等数据的系统,主要包括以下需求: 1. 数据采集:能够实时采集网站的访问量、用户行为等数据,并存储到数据库中。 2. 数据处理:能够对采集到的数据进行处理、清洗、归类等操作,并提供数据可视化展示。 3. 数据分析:能够对数据进行分析、挖掘,发现用户行为、流量走势等规律,并提供相关报表和分析结果。 4. 数据安全:能够保证采集到的数据安全可靠,防止数据泄露、丢失等情况。 基于以上需求,可以进行以下建模: 1. 用例图:用例图主要描述系统的功能需求和用户角色,包括用户登录、数据采集、数据处理、数据分析等功能。 2. 领域模型:领域模型主要描述系统中的实体和它们之间的关系,例如用户、网站、访问记录、分析结果等实体。 3. 数据流程图:数据流程图主要描述系统中数据的流向和处理过程,例如数据采集、清洗、存储、分析等过程。 4. 类图:类图主要描述系统中的类及其属性和方法,例如用户类、访问记录类、分析结果类等。 5. 架构图:架构图主要描述系统的整体架构和模块划分,例如数据采集模块、数据处理模块、数据分析模块等。 以上建模可以帮助开发人员更好地理解系统需求和设计系统架构,从而提高开发效率和系统质量。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值