CTF(misc) USB流量截取(键盘)

于 2024-07-26 15:46:35 发布
阅读量369 收藏
点赞数 2
文章标签: 计算机外设 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59197314/article/details/140717221
版权

题目链接

解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。

使用tshark工具将所需信息保存到usbdata.txt文件中。

tshark -r flag.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

 

将文件用脚本分隔,获得out.txt文件。

#将上面的文件用脚本分隔,加上冒号;
f=open('usbdata.txt','r') 
fi=open('out.txt','w')
while 1:
  a=f.readline().strip() 
  if a:
    if len(a)==16:#键盘流量的话len为16鼠标为8 
      out=''
      for i in range(0,len(a),2):
        if i+2 != len(a):
          out+=a[i]+a[i+1]+":" 
        else:
          out+=a[i]+a[i+1] 
      fi.write(out) 
      fi.write('\n') 
  else: 
    break 
fi.close()

 使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。

#最后用脚本提取
   # print((line[6:8])) #输出6到8之间的值
   #取出6到8之间的值
mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }
nums = []
keys = open('out.txt')
for line in keys:
    if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':
         continue
    nums.append(int(line[6:8],16)) 
keys.close()
output = ""
for n in nums:
    if n == 0 :
        continue
    if n in mappings:
        output += mappings[n]
    else:
        output += '[unknown]'
print('output :\n' + output)

平陆成江xuan
关注
专栏目录
USB键盘流量分析
BvxiE的博客
07-17 2598
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6698
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
ctf-usb-keyboard-parser:这是来自https的更新脚本
05-14
ctf-usb-键盘解析器 这是的更新脚本 用法 $ python usbkeyboard.py < file> 从pcap提取文件(可能不适用于每个pcap) $ tshark -r ./usb.pcap -Y ' usb.capdata && usb.data_len == 8 ' -T fields -e usb.capdata > usbPcapData 某些版本的tshark不会在每个字节之间添加“:”,如下所示: $ tshark -r ./usb.pcap -Y ' usb.capdata && usb.data_len == 8 ' -T fields -e usb.capdata 0000240000000000 0000000000000000 ... 如果发生这种情况,您可以使用sed来添加它们,如下所示: $ tshark -r ./usb.pcap -Y '
CTF键盘流量脚本
ju7ran的博客
03-21 381
【代码】CTF键盘流量脚本。
关于流量分析题目的解析
TJHder的博客
03-19 1649
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
题解:CTF键盘流量分析初探
m0_51193993的博客
11-25 4064
键盘流量 通过网上搜集资料 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节以后 BYTE1 -- |--bit0: Left Control是否按下,按下为1 |--bit1: Left Shift 是否按下,按下为1 |--bit2: Left Alt 是否按下,按下为1 |--bit3: Left GUI 是否按下,按下为1 |--bit4: Right Control是否按下,按下
CTF流量分析常见题型(二)-USB流量
热门推荐
qwzf
08-01 1万+
0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结。由于篇幅过长,于是另起一篇总结常见流量包分析。包括USB流量包分析和一些其他流量包分析。 0x01 USB流量包分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capt
2020天津市ctf大赛之usb数据包流量分析题
weixin_44145452的博客
10-05 4469
1.鼠标流量分析 1.常用命令 tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt 如果提取出来的数据有空行,可以将命令改为如下形式: tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:
键盘流量分析
xiaokerwnrwn的博客
03-18 1361
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,与人体输入设备相关的数据,比如鼠标,键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析是USB流量分析的一种。
从bugku几道流量题学习tshark-【USB流量截取】【花点流量听听歌】
Mengof的csdn博客
02-03 1959
tshark usb流量 wireshark usb.capdata usbhid.data
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
网络安全领域,尤其是Capture The Flag (CTF)竞赛中,Miscellaneous(杂项)...了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助你在面对复杂信息时迅速找到正确的解码路径,从而成功破解挑战。
CTF MISC安全杂项经典例题讲解
10-22
该内容为CTF赛题MISC安全杂项经理例题讲解,包含图片隐写,流量分析,web安全等多种题型讲解,图文结合,适合新手学习。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF--Misc--流量分析
weixin_53425135的博客
10-06 3293
网络流量包流转于各个环节,我们可以通过捕捉网络中流动的数据包,然后查看流量包内部的数据以及相关协议,流量分析、统计等等。一般情况下,捕捉到数据包可以通过过滤规则得到我们想要的有用的信息,也更好的方便我们进行查找关键信息,提高效率。在计算机网络中传输层协议最常见的是TCP协议,我们可以通过对TCP数据流的追踪与分析。以buuctf–被劫持的礼物为例子,进行正常的过滤、tcp数据追踪得到。功能:可以很直观的看到流量包的大致情况,以及快速定位到需要分析的地方。流量包不是普通的网络流量包,是其它类型的流量包。
ctf流量分析练习二
gclome的博客
09-06 3436
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
CTF——杂项3.流量取证技术
woo233的博客
09-09 3064
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
misc——流量分析usb(2)
最新发布
2301_81864699的博客
06-19 733
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
CTF通过Wireshark对USB流量取证分析题
Mark的博客
11-19 7715
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
ctf 流量usb协议
05-21
USB协议是一种用于在计算机和外部设备之间传输数据的标准。在CTF竞赛中,通常会出现需要分析USB流量包的情况。 USB流量包通常包含了从计算机USB设备或从USB设备到计算机的数据传输信息。其中,数据传输可以分为控制传输、批量传输、中断传输和等时传输四种方式。 控制传输通常用于配置和控制USB设备,例如设置设备的地址和端点、发送控制命令、获取设备描述符等。批量传输用于传输大量数据,例如打印机输出、音频数据等。中断传输用于传输小量的时间敏感数据,例如鼠标和键盘输入。等时传输用于实时传输数据,例如视频和音频流。 在分析USB流量包时,需要了解USB协议的基础知识,并使用相关软件对流量包进行解析和分析,以便识别数据传输类型、提取数据内容等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值