Bugku:杂项 USB 流量截取

最新推荐文章于 2024-04-30 22:07:29 发布
最新推荐文章于 2024-04-30 22:07:29 发布
阅读量423 收藏 1
点赞数 1
文章标签: 安全 信息安全 数据安全 安全漏洞 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26961571/article/details/136021514
版权

这道题的flag其实是有点问题的,

花了1金币买wp才知道。

打开这道题,

下载后是一个USB的流量包,

他的特点是第五和第六位是构成了键盘的流量,有大佬推荐看这篇文章:

https://blog.csdn.net/ON_Zero/article/details/130528679

但其中比较关键的有第一和第二位构成的值,表示是当取0x00时,代表没有按键,为0x01时,代表按左按键,为0x02时,代表当前按键为右键,0x20表示shift键。

所以我们先用脚本提取出USB流量相关信息。这个命令windows和linux都有,可以自行查一下。

.\tshark.exe -r D:\Downloads\flag.pcap -T fields -e usb.capdata >D:\Downloads\usbdata.txt

生成usbdata.txt之后,就可以用脚本进行处理。

首先用:进行分隔,

f=open('usbdata.txt','r') fi=open('out.txt','w')while 1:  a=f.readline().strip()   if a:    if len(a)==16:#键盘流量的话len为16鼠标为8       out=''      for i in range(0,len(a),2):        if i+2 != len(a):          out+=a[i]+a[i+1]+":"         else:          out+=a[i]+a[i+1]       fi.write(out)       fi.write('\n')   else:     break

这里有两个脚本:

mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }nums = []keys = open('out.txt')for line in keys:    if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':         continue    nums.append((line[6:8],16)) print numskeys.close()output = ""for n in nums:    if n == 0 :        continue    if n in mappings:        output += mappings[n]    else:        output += '[unknown]'print 'output :\n' + output

这个脚本跑出来是

这个脚本得出的flag是没有下划线的,但是我们直接看usbdata.txt中是存在下划线这个字符的。

normalKeys = {"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "0d":"j", "0e":"k", "0f":"l", "10":"m", "11":"n", "12":"o", "13":"p", "14":"q", "15":"r", "16":"s", "17":"t", "18":"u", "19":"v", "1a":"w", "1b":"x", "1c":"y", "1d":"z","1e":"1", "1f":"2", "20":"3", "21":"4", "22":"5", "23":"6","24":"7","25":"8","26":"9","27":"0","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"-","2e":"=","2f":"[","30":"]","31":"\\","32":"<NON>","33":";","34":"'","35":"<GA>","36":",","37":".","38":"/","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"} shiftKeys = {"04":"A", "05":"B", "06":"C", "07":"D", "08":"E", "09":"F", "0a":"G", "0b":"H", "0c":"I", "0d":"J", "0e":"K", "0f":"L", "10":"M", "11":"N", "12":"O", "13":"P", "14":"Q", "15":"R", "16":"S", "17":"T", "18":"U", "19":"V", "1a":"W", "1b":"X", "1c":"Y", "1d":"Z","1e":"!", "1f":"@", "20":"#", "21":"$", "22":"%", "23":"^","24":"&","25":"*","26":"(","27":")","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"_","2e":"+","2f":"{","30":"}","31":"|","32":"<NON>","33":"\"","34":":","35":"<GA>","36":"<","37":">","38":"?","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}  nums = []keys = open(r"usbdata.txt")for line in keys:    if len(line)!=17: #首先过滤掉鼠标等其他设备的USB流量         continue    nums.append(line[0:2]+line[4:6]) #取一、三字节keys.close()output = ""for n in nums:    if n[2:4] == "00" :        continue     if n[2:4] in normalKeys:        if n[0:2]=="02": #表示按下了shift            output += shiftKeys [n[2:4]]        else :            output += normalKeys [n[2:4]]    else:        output += ''print('output :' + output)

这个脚本得出

这里可以看到[]和-其实是没有按shift键的,所以转换成{}和_就可以。

作者设定的flag是:

flag{pr3550nwardsa2fee6e0}

欢迎关注我的微信公众号!!~~

一起快落学习CTF吧!!~~ (*^▽^*)

大知闲闲,小知间间,大言炎炎,小炎詹詹。

酥酥糖学习
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTF——杂项3.流量取证技术
woo233的博客
09-09 2542
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
usb键盘流量
xxfsa的博客
11-29 75
删除的内容“soezusb"为key,剩余"Aggsz{Kp_wn_YRV_sov_jmfyffjs!}”为明文维吉尼亚解密。得到flag:Isctf{So_ez_USB_and_vigenere!tshark读取蓝牙流量得到blue.txt,手动删除多余的01,03字符。knm提取usb流量得到usbdata.txt。<cap> -> 大写 <del> -> 删除。结果和blue.txt手动拼接。键盘流量脚本得到明文。
内存取证与USB流量分析总结
blue_fantasy的博客
01-09 1594
Text. 0x00 前言 本文对我曾接触到过的CTF中的内存取证类题目与USB流量分析类题目进行一个总结类梳理。其中kali里集成了取证神器volatility与流量分析神器tshark 0x01 Volatility 第一步提取内容镜像信息 常用命令volatility -f <xxx.vmem>(或xx.raw) imageinfo 使用imageinfo插件获取到基本信息,特别是内存数据是什么操作系统下生成的,这点尤为重要 (如图的WinXPSP2x86) 因为在接下来每
深入理解USB流量数据包的抓取与分析
weixin_33943347的博客
08-14 3101
0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB流量包,我们可以先尝试分析一下USB数据包是如何捕获的。 在开始前,我们先介绍一些USB的基础知识。USB有不同的规格,以下是使用USB的三种方式: l USB UART l ...
USB流量分析
Atkx's Blog
04-12 5349
鼠标流量 流量包bingbing.pcapng,USB流量 tshark提取USB流量 tshark -r bingbing.pcapng -T fields -e usb.capdata > usbdata.txt 剔除空行 tshark -r bingbing.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 利用脚本加上冒号 f=open('usbdata.txt','r') fi=open('out.
bugku杂项题writeup
11-22
bugku杂项题writeup
杂项杂项项目
02-15
杂项项目 CodeAlong-摄影作品集(来自Udemy课程:The Web Developer Bootcamp 2020)(学习CSS) FancyHoverButton-其他(学习CSS) CodeAlong-定价面板项目(来自Udemy课程:The Web Developer Bootcamp 2020)...
杂项杂项文件
02-18
杂项 杂项文件
go-misc:杂项杂项
05-05
杂项 该存储库包含其他实现。 执照 CC0
杂项杂项
02-15
杂项 杂事
USB流量取证分析
Lemon's blog
09-22 5107
0x00:什么是USBUSB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。 0x01:USB使用的三种方式 USB UART UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。 USB HID HID 是人性化的接口。这
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 565
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
全视通智慧手术室对讲方案,让手术更安全更高效
2301_78035670的博客
04-24 540
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 776
Linux服务器安全基础 - 查看入侵痕迹
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
南七小僧的学海无涯
04-30 741
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 696
日常运维操作笔记 (持续更新)
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
04-26 971
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
Baidu Comate:“AI +”让软件研发更高效更安全
Baidu_Secrity的博客
04-30 413
4月27日,百度副总裁陈洋出席由全国工商联主办的第64届德胜门大讲堂,并发表了《深化大模型技术创新与应用落地,护航大模型产业平稳健康发展》主题演讲。陈洋表示,“人工智能+”成为催生新质生产力的重要引擎,对于企业而言,务必要抓住这一重要机遇,一方面,要持续深化大模型技术的创新与应用落地;另一方面,要夯实数字安全,全力护航大模型产业平稳健康发展。
杂项-Grunt:grunt build 打包和常见错误
05-25
Grunt 是一个 JavaScript 任务运行器,可以自动化执行一些重复性的开发任务,如压缩、合并、编译等等。其中,`grunt build` 是一个常用的命令,用于打包整个项目。在运行 `grunt build` 命令时,可能会遇到一些常见错误,下面是一些解决这些错误的方法。 1. Error: Cannot find module 'load-grunt-tasks' 该错误通常是由于缺少 `load-grunt-tasks` 模块导致的。可以通过在命令行中运行以下命令来安装该模块: ``` npm install --save-dev load-grunt-tasks ``` 2. Warning: Task "task-name" not found 该错误通常是由于缺少某个 Grunt 插件导致的。可以通过在命令行中运行以下命令来安装相应的插件: ``` npm install --save-dev grunt-plugin-name ``` 其中,`grunt-plugin-name` 为需要安装的插件名称。 3. Warning: Task "uglify" not found 如果遇到这个警告,可能是因为需要安装并加载 `grunt-contrib-uglify` 插件。可以通过运行以下命令来安装该插件: ``` npm install --save-dev grunt-contrib-uglify ``` 并在 `Gruntfile.js` 文件中添加以下代码: ```js grunt.loadNpmTasks('grunt-contrib-uglify'); ``` 4. Warning: Task "concat" not found 如果遇到这个警告,可能是因为需要安装并加载 `grunt-contrib-concat` 插件。可以通过运行以下命令来安装该插件: ``` npm install --save-dev grunt-contrib-concat ``` 并在 `Gruntfile.js` 文件中添加以下代码: ```js grunt.loadNpmTasks('grunt-contrib-concat'); ``` 5. Warning: Task "sass" not found 如果遇到这个警告,可能是因为需要安装并加载 `grunt-contrib-sass` 插件。可以通过运行以下命令来安装该插件: ``` npm install --save-dev grunt-contrib-sass ``` 并在 `Gruntfile.js` 文件中添加以下代码: ```js grunt.loadNpmTasks('grunt-contrib-sass'); ``` 除了上述错误,还有许多其他可能出现的错误,每个错误的解决方法都有所不同。因此,在使用 `grunt build` 命令时,需要注意查看控制台输出的错误信息,并根据错误信息来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

酥酥糖学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值