記一次CTF的USB流量分析

原創 fjh1997 2020-04-30 08:22

usb鼠標流量

最近在研究鼠標流量,找到如下的文章:
https://www.cnblogs.com/hackxf/p/10670844.html
根據這個師傅的說法,不同的鼠標抓到的流量不一樣,一般的鼠標流量是四個字節,第一個字節表示按鍵指示左鍵右鍵,第二個字節表示水平位移,爲正(小於127)是向右移動,爲負(補碼負數,大於127小於255)是向左移動。第三個字節表示垂直位移,爲正(小於127)是向上移動,爲負(補碼負數,大於127小於255)是向下移動。事實上,起作用的只是三個相鄰的字節。
然而,有些鼠標的流量似乎不那麼標準,比如上面那個師傅,他抓出來的流量是8字節的,於是他就取了1、2、3字節來進行分析。而我抓到的流量是6字節的。
如下圖:
在這裏插入圖片描述

經過分析,我對應的起作用的字節是2、3、4字節,稍微修改了下師傅的腳本。

#sniffer.py
nums = []
keys = open('usbdata.txt','r')
result=open('result.txt','w')
posx = 0
posy = 0
for line in keys:
    if len(line) != 18 :#忽略空行
         continue
    x = int(line[6:8],16)
    y = int(line[9:11],16)
    if x > 127 :
        x -= 256
    if y >127 :
        y -=256
    posx += x
    posy += y
    btn_flag = int(line[3:5],16)  # 1 for left , 2 for right , 0 for nothing
    if btn_flag == 1 :
        result.write(str(posx)+' '+str(posy)+'\n')
keys.close()
result.close()

同時在控制檯裏面運行以下命令出來了結果。

tshark -r test2.pcapng -T fields -e usb.capdata > usbdata.txt
python3 sniffer.py
gnuplot.exe -e "plot 'result.txt'" -p

但是這樣的圖像出來是反的。
在這裏插入圖片描述

於是我又加了個負號。

#sniffer.py
nums = []
keys = open('usbdata.txt','r')
result=open('result.txt','w')
posx = 0
posy = 0
for line in keys:
    if len(line) != 18 :#忽略空行
         continue
    x = int(line[6:8],16)
    y = int(line[9:11],16)
    if x > 127 :
        x -= 256
    if y >127 :
        y -=256
    posx += x
    posy += y
    btn_flag = int(line[3:5],16)  # 1 for left , 2 for right , 0 for nothing
    if btn_flag == 1 :
        result.write(str(posx)+' '+str(-posy)+'\n')
keys.close()
result.close()

圖像正了,但還是有傾斜,又反覆試了多次,和畫圖的結果還是不太一樣。
在這裏插入圖片描述
在這裏插入圖片描述
經過對比,稍微調整了參數,具體的參數作用註釋裏面有說明

#sniffer.py
nums = []
keys = open('usbdata.txt','r')
result=open('result.txt','w')
posx = 0
posy = 0
for line in keys:
    if len(line) != 18 :#忽略空行
         continue
    x = int(line[6:8],16)
    y = int(line[9:11],16)
    if x > 127 :
        x -= 256
    if y >120 :#這個參數控制單個字符的高度,如果高度過大導致字符過瘦,請調大
        y -=264#這個參數控制字符串的傾斜程度,如果向下傾斜就調高,如果向上傾斜就調低
    posx += x
    posy += y
    btn_flag = int(line[3:5],16)  # 1 for left , 2 for right , 0 for nothing
    if btn_flag == 1 :
        result.write(str(posx)+' '+str(-posy)+'\n')
keys.close()
result.close()

這下結果就比較接近了。
在這裏插入圖片描述
流量詳見附件:
https://download.csdn.net/download/fjh1997/12373386

2. USB鍵盤流量

usb鍵盤流量就容易的多,主要起作用的是七個字節(1、3~8)。鍵盤流量只記錄按下的按鍵。釋放按鍵不進行記錄。

BYTE1 --
       |--bit0:   Left Control是否按下,按下爲1 
       |--bit1:   Left Shift  是否按下,按下爲1 
       |--bit2:   Left Alt    是否按下,按下爲1 
       |--bit3:   Left GUI    是否按下,按下爲1 
       |--bit4:   Right Control是否按下,按下爲1  
       |--bit5:   Right Shift 是否按下,按下爲1 
       |--bit6:   Right Alt   是否按下,按下爲1 
       |--bit7:   Right GUI   是否按下,按下爲1 
BYTE2 -- 暫不清楚,有的地方說是保留位
BYTE3--BYTE8 -- 這六個爲普通按鍵

詳細的對照表可以去這裏看:
https://www.usb.org/sites/default/files/documents/hut1_12v2.pdf
但是在抓包的時候也需要注意一些點同時在抓流量的時候也會遇到一些問題,比如8個字節都是0的USB流量太多以及其他USB設備的流量的干擾,需要用filter“usb.capdata != 00:00:00:00:00:00:00:00 and usb.src == “96.1.1””進行過濾,如下圖。
在這裏插入圖片描述
再比如同樣一個s沒加shift是0000160000000000,加了shift之後是0200160000000000
在這裏插入圖片描述

在這裏插入圖片描述
有些時候也會遇到多個按鍵一起按的情況,這個時候3~8字節可能會被利用起來。
在這裏插入圖片描述
這裏我做了一個實驗,輸入”hello I’m good“之後查看抓到的流量是什麼:

import os
os.system("tshark -r test.pcapng -T fields -e usb.capdata > usbdata.txt")
normalKeys = {"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "0d":"j", "0e":"k", "0f":"l", "10":"m", "11":"n", "12":"o", "13":"p", "14":"q", "15":"r", "16":"s", "17":"t", "18":"u", "19":"v", "1a":"w", "1b":"x", "1c":"y", "1d":"z","1e":"1", "1f":"2", "20":"3", "21":"4", "22":"5", "23":"6","24":"7","25":"8","26":"9","27":"0","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"-","2e":"=","2f":"[","30":"]","31":"\\","32":"<NON>","33":";","34":"'","35":"<GA>","36":",","37":".","38":"/","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}

shiftKeys = {"04":"A", "05":"B", "06":"C", "07":"D", "08":"E", "09":"F", "0a":"G", "0b":"H", "0c":"I", "0d":"J", "0e":"K", "0f":"L", "10":"M", "11":"N", "12":"O", "13":"P", "14":"Q", "15":"R", "16":"S", "17":"T", "18":"U", "19":"V", "1a":"W", "1b":"X", "1c":"Y", "1d":"Z","1e":"!", "1f":"@", "20":"#", "21":"$", "22":"%", "23":"^","24":"&","25":"*","26":"(","27":")","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"_","2e":"+","2f":"{","30":"}","31":"|","32":"<NON>","33":"\"","34":":","35":"<GA>","36":"<","37":">","38":"?","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}


nums = []
keys = open('usbdata.txt')
for line in keys:
    if len(line)!=17: #首先過濾掉鼠標等其他設備的USB流量
         continue
    nums.append(line[0:2]+line[4:6]) #取一、三字節
keys.close()
output = ""
for n in nums:
    if n[2:4] == "00" :
        continue

    if n[2:4] in normalKeys:
        if n[0:2]=="02": #表示按下了shift
            output += shiftKeys [n[2:4]]
        else :
            output += normalKeys [n[2:4]]
    else:
        output += '[unknown]'
print('output :n' + output)

得到如下結果:
在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Shell/Python中的用戶名獲取

一、幾個基本概念 登錄用戶(login user):通過登錄方式進入系統的用戶,強調登錄身份。 當前用戶(current user):執行一個進程或者命令時所使用的用戶身份,強調執行身份。          舉

原創 2024-05-19 00:44:35

網絡爬蟲的祕密:如何高效地抓取JD.com視頻鏈接

在這個數據驅動的時代,信息就是力量。而在這片信息的海洋中,爬蟲技術就像是一艘靈活的潛水艇,讓我們能夠深入海底,探尋那些隱藏的寶藏。今天,我將帶領大家一起踏上一場奇妙的探險之旅,我們將使用Python這把瑞士軍刀,搭配RoboBrowser

原創 2024-05-18 00:07:59

記一次有點抽象的滲透經歷

0x01 獲取webshell 在各種信息蒐集中,發現某個ip的端口掛着一個比較老的服務。 首先看到了員工工號和手機號的雙重驗證,也不知道賬號是什麼結構組成的,基本上放棄字典爆破這一條路。於是乎打開之前用燈塔的掃描結果,看看文件泄露是否

原創 2024-05-17 23:16:30

地理數據可視化的神奇組合:Python和Geopandas

本文分享自華爲雲社區《Python與Geopandas:地理數據可視化與分析指南》,作者:檸檬味擁抱。 地理數據可視化在許多領域都是至關重要的,無論是研究地理空間分佈、城市規劃、環境保護還是商業決策。Python語言以其強大的數據處理和可視

原創 2024-05-15 10:59:41

Scrapy爬蟲:利用代理服務器爬取熱門網站數據

在當今數字化時代,互聯網上充斥着大量寶貴的數據資源,而爬蟲技術作爲一種高效獲取網絡數據的方式,受到了廣泛的關注和應用。本文將介紹如何使用Scrapy爬蟲框架,結合代理服務器,實現對熱門網站數據的高效爬取,以抖音爲案例進行說明。 1. 簡

原創 2024-05-15 00:08:57

Python函數與模塊的精髓與高級特性

本文分享自華爲雲社區《Python函數與模塊的精髓與高級特性》,作者:檸檬味擁抱。 Python 是一種功能強大的編程語言,擁有豐富的函數和模塊,使得開發者能夠輕鬆地構建複雜的應用程序。本文將介紹 Python 中函數和模塊的基本使用方法,

原創 2024-05-14 11:00:07

利用pyinstaller打包Python程序爲一個可執行文件

有時,Python發佈的程序需要被打包爲一個文件夾、甚至一個文件發佈。 目前(2020)最佳的策略是使用pyinstaller。 pyinstaller不僅支持打包整個運行環境到一個可執行文件,而且還支持加密。 但唯一的問題是,必須依賴

osc_hwc3munb 2024-05-14 02:04:34

做開發我是認真的!要麼不做,要麼全力以赴 | 每日趣聞

戳一戳小程序查看更多! 往 期 趣 聞 ☞你拖後腿了嗎?11 月份程序員工資出爐~ | 每日趣聞 ☞計算機專業會修電腦實錘!| 每日趣聞 ☞IT 行業這麼廣,你的職業規劃是什麼?| 每日趣聞 ☞奔潰啦~希望 Python 可

osc_r0irdqn7 2024-05-14 01:47:34

anaconda和pycharm區別是什麼?Python學習!

  學習Python的人,肯定聽說過anaconda和pycharm,但是很多人傻傻分不清楚它們之間有什麼區別,今天小編帶大家好好了解一下。   Anaconda:   是一個Python發行版,包含了conda、Python等180多個

osc_r0irdqn7 2024-05-14 01:47:30

Python爬蟲進階必備 | MD5 hash 案例解析彙總(一)

上次鹹魚對關於 MD5 hash 的JS加密方法做了總結,這次把鹹魚遇到的 MD5 hash 的案例做了彙總,這個彙總系列會持續更新,攢到一定數量的網站就發一次。 關於 MD5 HASH 的處理可以參考下面這篇文章: Python爬蟲進

osc_hzf6peqc 2024-05-14 01:40:15

爲程序員和新手準備的 8 大 Python 工具

Python 是一種開源編程語言,用於 Web 編程、數據科學、人工智能和許多科學應用。學習 Python 使程序員能夠專注於解決問題,而不是專注於語法,其豐富的庫賦予它完成偉大任務所需的力量。 1) IDLE 安裝 Python 時

osc_7cws6vmd 2024-05-14 01:06:43

【編測編學】自動化測試面試必背(上)

1、你會封裝自動化測試框架嗎?這個問得最多,甚至有很多公司直接寫在招聘要求中。自動化框架主要的核心框架就是分層+PO模式:分別爲:基礎封裝層BasePage,PO頁面對象層,TestCase測試用例層。然後再加上日誌處理模塊,ini配置文

osc_pjx77r92 2024-05-14 00:41:23

樹莓派真是個讓人慾罷不能的“小妖精”

大晚上不睡覺、枸杞泡起來@我 一個月之前、自從入了樹莓派4b 8g板之後、就無法自拔,上班除了開發業務代碼和搭建內部UI組件庫之外,就是不亦樂乎的學習docker、mysql、mongodb、php、python、frp等,採購了阿里雲E

osc_51airx3z 2024-05-14 00:37:28

用python畫出全球疫情趨勢變化圖

前言 文的文字及圖片來源於網絡,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:謙睿科技 PS:如有需要Python學習資料的小夥伴可以加點擊下方鏈接自行獲取http://t.cn/A6Z

osc_t1bxxmjp 2024-05-14 00:03:10

複雜嵌套字典數據結構處理庫-glom

經常遇到複雜嵌套字典數據,我們都是這麼寫的 data = {'a': {'b': {'c': 'd'}}} print(data['a']['b']['c']) 'd' 然後經常遇到這個bug data2 = {'a': {'b':

osc_61miaq6u 2024-05-13 22:58:14