杂项——USB键盘与鼠标流量分析——BUUCTF——流量分析

最新推荐文章于 2025-05-05 08:30:00 发布
原创 最新推荐文章于 2025-05-05 08:30:00 发布
· 1.4k 阅读 · 34 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机外设

第一次做USB键盘与鼠标流量分析的题目,现在来好好做一个总结

1. 基础知识

USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。

在正式介绍 USB HID 协议之前,先解释一下上图,这是我们最初捕获到的几个流量包,其中包含了最常见的两种 USB 数据传输方式:

GET DESCRIPTOR
URB_INTERRUPT in
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途不同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。

GET DESCRIPTOR
GET DESCRIPTOR 是 USB 设备和主机之间进行控制传输的一种方式,用于获取设备信息(即各种描述符信息)。GET DESCRIPTOR 一般使用控制传输的 SETUP、DATA 和 STATUS 三个阶段来完成。

USB 描述符
USB 描述符是用于描述 USB 设备、接口、端点等属性的数据结构,主要包括以下几种类型:

设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
配置描述符(Configuration Descriptor):用于描述 USB 设备的配置信息,包括设备接口、端点数量、传输类型等信息。
接口描述符(Interface Descriptor):用于描述USB设备的接口信息,包括接口类别、子类别、协议等信息。
端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。
字符串描述符(String Descriptor):用于描述USB设备的字符串信息,如设备名称、制造商名称、产品名称等。
HID 描述符(HID Descriptor):仅用于 HID(Human Interface Device)设备,描述 HID 设备的属性和报告信息。


bDeviceClass/bDeviceSubClass:HID 设备在其设备描述符中的类/子类值均为 0。
idVendor:厂商 ID。
idProduct:产品 ID。
接口描述符(INTERFACE DESCRIPTOR)


bInterfaceClass:3,标识 HID 设备。
bInterfaceSubClass:1 表示设备支持引导协议, 0 表示设备只支持报告协议。
bInterfaceProtocol:1表示HID设备是键盘,2表示HID设备是鼠标。
请记住,接口描述符不能手动请求,必须与配置和端点描述符一起获取。

URB_INTERRUPT in


URB_INTERRUPT in 是一种 USB 中断传输方式,用于实时地从 USB 设备中读取数

最低0.47元/天 解锁文章
jokerest123
关注
USB鼠标分析——配置描述符(三)
tyustli
01-16 1655
bLength:配置描述符的长度。标准的 USB 配置描述符的长度为 9 字节bDescriptorType:描述符的类型。配置描述符的类型编码为 0x02wTotalLength:2 个字节,表示整个配置描述符集合的总长度,包括配置描述符,接口描述符,类特殊描述符(如果有)和端点描述符,注意低字节在前。bNumInterfaces:表示该配置所支持的接口数量。通常功能单一的设备只具有一个接口,而复合设备则具有多个接口bConfiguration:表示该配置的值。
键盘流量分析
xiaokerwnrwn的博客
03-18 1700
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,人体输入设备相关的数据,比如鼠标键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析USB流量分析的一种。
USB键盘流量分析
BvxiE的博客
07-17 3520
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
BUUCTF流量分析(一) 1
YueXuan_521的博客
05-05 699
BUUCTF流量分析(一) 1 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交。1、随便打开一个,一般黑客的攻击流量会很多,需要使用Wireshark统计功能。下载附件,有很多pcap流量包。的分组数,是除内网IP最多的。最后,确认黑客的攻击ip是。
流量分析USB键盘鼠标流量分析
热门推荐
自知.的博客
05-06 1万+
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘鼠标流量为主。 下面通过简单的讲解例题的展示,分析键盘流量鼠标流量。
USB流量分析
M3ng@L的博客
01-18 3233
USB流量分析 鼠标流量 鼠标的流量包有三个字节是有用的,从左到右依次代表着按键,水平方向位移,垂直方向位移 注意这里是代表着位移,而之后在gnuplot工具中描绘出鼠标轨迹需要知道坐标,那么位移值(单位是像素)应该依次相加;而按键分为没有操作,左按键,右按键,分别对应0x00,0x01,0x02 一般鼠标流量是4个字节,也就是32bits,那么上面提到的有用字节应该分别是第1,2,3字节 也有可能是8字节的,那么有用的字节应该分别是第1,3,5字节 也有可能是其他字节长度的,这里就不一一举例了 关于流量
BUUCTF——大流量分析一、二、三题
人若无名,便可专心练剑
05-14 1666
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。题目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP我们内网IP有交互的。如果是做题目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
CTF——MISC习题讲解(流量分析winshark系列~二)
tlovejr的博客
03-15 5673
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列。 一、misc4 打开题目后除了一个流分包还有一个txt文档 既然都这么告诉了,那就直接在统计里寻找一下这个特殊的PHP文件 然后直接在界面搜索一下这个文件看看 直接能得到flag,其实这个题也就是基础题,并不是太难,只要会统计这个功能几乎就可以的。 flag{FLAG-GehFMsqCeNvof5szVpB2Dmjx} 二、telnet 打开题目后发现还是有一
网络安全CTF-Misc竞赛中的综合技术应用:文件隐写、流量分析实战案例解析CTF(夺
最新发布
06-02
内容概要:文章介绍了CTF竞赛中的MISC(杂项)类别,详细阐述了其背景、特点及涵盖的技术领域。CTF,即夺旗赛,是网络安全领域的竞技比赛,起源于1996年DEFCON全球黑客大会。MISC作为CTF中的一大类目,涉及流量分析...
CTF竞赛Misc类别高频面试题汇总:涵盖隐写术、流量分析、编码加密内存取证技术要点了文档的主要内容
05-13
流量分析则涉及HTTP、DNS流量的过滤文件提取,以及USB键盘流量的按键数据提取;编码加密分析列举了常见编码方式及其识别特征和解码工具;内存取证部分讲解了使用Volatility进行系统信息检测、进程查看、命令行历史...
CTF——MISC习题讲解(流量分析winshark系列~四)
tlovejr的博客
03-17 4917
CTF——MISC习题讲解(流量分析winshark系列~四) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列四。 一、工控协议分析 首先打开题目如下 搜索flag发现也没有什么有用的东西 其实在做流分题中还是有一个小技巧,就是看一下长度 排序看到确实有一个长度过于长,而且在下面也有base编码 然后导出分组字节流 这样的话先把对于的东西给去除,然后进行base64解码 发现是个图片,那就直接在这里转换为图片 得到flag{ICS-mms104} 二、管理员的密码就是fl
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 1792
附件是一个USB流量文件。
misc——流量分析usb(2)
2301_81864699的博客
06-19 1335
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
DDCTF2018 流量分析
pondzhang的专栏
10-14 1118
=E4=BD=A0=E5=A5=BD=EF=BC=8C=E8=AF=B7=E4=BD=A0=E5=B0=86=E5=AF=86=E9=92=A5=E5=AE=89=E8=A3=85=E5=88=B0=E6=9C=8D=E5=8A=A1=E5=99=A8=E4=B8=8A=E3=80=82=E8=B0=A2=E8=B0=A2 解码为“你好,请你将密钥安装到服务器上。谢谢” 获得privatekey为 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZm
BUUCTF——MISC(流量分析
m0_55854679的博客
07-25 5621
也可以使用关键词phpinfo(),仔细查看每一个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一题的流量包,我们知道发送邮件的协议一般为。在上上一题中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
usb流量包分析
m0_74736832的博客
03-09 859
USB流量主要分为两种,一种是鼠标流量,另一种是键盘流量。
USB流量分析总结(实战[NISACTF 2022] 破损的flag)
晓梦林的博客
03-07 981
由于不同鼠标使用的鼠标协议是不同的,每个数据包的数据区可能是4字节、6字节或者8字节。为正(小于127)是向右移动多少像素,为负(负数补码,大于127小于255)是向左移动多少像素。为正(小于127)是向上移动多少像素,为负(负数补码,大于127小于255)是向下移动多少像素。当数据区是6个字节时,第一个字节表示按键指示左右键, 第二个字节表示水平位移,第三个字节表示垂直位移。数据区若是8个字节时,第一个字节表示按键指示左右键,第三个字节表示水平位移,第五个字节表示垂直位移。所以,根据映射关系,可以写出。
BUUCTF流量分析
2301_76596810的博客
04-07 2607
CTFSHOW :(点击网址跳转)每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。
揭秘USB流量分析:CTF挑战之信息提取
通过对USB流量的监听,安全研究人员和网络分析师可以获取多种敏感信息,例如键盘的击键记录、鼠标的移动轨迹以及文件的传输内容等。 USB协议在多个版本中发展,包括USB 1.0、USB 2.0、USB 3.0和USB 4.0等,每个版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值