【流量分析】USB键盘与鼠标流量分析

原创 已于 2023-05-07 13:24:55 修改 · 1.5w 阅读 · 138 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机网络 #wireshark #计算机外设

于 2023-05-06 19:57:51 首次发布
本文介绍了如何通过USB流量分析来获取键盘和鼠标活动,特别是在CTF(网络安全竞赛)中的应用。利用tshark工具提取数据,然后通过特定的键码转换表解析键盘输入的数字密码。对于鼠标流量,解析数据中的移动轨迹信息。文章提供了详细的操作步骤,包括在Linux和Windows环境下使用tshark提取数据,并展示了如何将这些数据转化为可读的键位和鼠标移动信息。

0x00 USB流量包分析

USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。
在CTF中,USB流量分析主要以键盘和鼠标流量为主。
下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。

例子中用到的文件为usb.pcap和usb2.pcap,我一起打包了放在云盘上,链接如下:
蓝奏云-usb.zip

0x01 键盘流量分析

USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节,其中键盘击健信息集中在第三个字节中,相关对应信息如下链接中所示;

  1. 🔗在线-USB HID to PS/2 Scan Code Translation Table
  2. 🔗蓝奏云-USB HID to PS/2 Scan Code Translation Table.pdf
  3. 🔗在线-USB协议中HID设备描述符以及键盘按键值对应编码表
  4. 🔗蓝奏云-USB协议中HID设备描述符以及键盘按键值对应编码表.pdf

如下所示,在使用wireshark捕捉到的流量中,我们主要看第三个字节的内容,将它与按键值相对以得出按键内容。
在这里插入图片描述
在这里插入图片描述

题目背景

安全测评人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag{xxxxxx}。

解题思路

使用 kali linux中的tshark命令把cap data 提取出来,
根据《USB键盘协议中的键码》中的HID Usage ID将数据还原成键位;

1 使用命令tshark把cap data 提取出来

🔗tshark-wireshark官方文档
在这里插入图片描述

Linux中使用tshark

安装:sudo apt-get install tshark
tshark -v
tshark -h

tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt
  
  -r:设置tshark 分析的输入文件
  -T:设置解码结果输出的格式。包括fields,text,ps,psml和pdml,默认为text

如图可以看到生成了usbdata.txt

在这里插入图片描述

Windows中使用tshark

wireshark在安装时会自带一些工具,tshark便是其中之一,它可以在wireshark的安装路径中找到。
在这里插入图片描述

#使用cmd或powershell进入安装路径后,执行以下命令
.\tshark.exe -r D:\Downloads\usb.pcap -T fields -e usb.capdata >D:\Downloads\usbdata.txt

在D:\Downloads\目录下便可看到文件usbdata.txt,此时的文件还有着默认的空行,我们使用脚本(或其他方式)删除空行

#使用脚本删除空行
with open('usbdata.txt', 'r', encoding='utf-8') as f:
    lines = f.readlines()
lines = filter(lambda x: x.strip(), lines)
with open('usbdata.txt', 'w', encoding='utf-8') as f:
    f.writelines(lines)

2 将文件用冒号进行分隔

#将上面的文件用脚本分隔,加上冒号;
f=open('usbdata.txt','r') 
fi=open('out.txt','w')
while 1:
  a=f.readline().strip() 
  if a:
    if len(a)==16:#键盘流量的话len为16鼠标为8 
      out=''
      for i in range(0,len(a)
最低0.47元/天 解锁文章
CTF通过WiresharkUSB流量取证分析题
Mark的博客
11-19 9785
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
CTFUSB流量分析详解
leo788的博客
02-27 1186
USB流量即USB设备接口的流量,CTF中主要以键盘鼠标流量为主。
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 2236
附件是一个USB流量文件。
键盘流量分析
xiaokerwnrwn的博客
03-18 1891
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,人体输入设备相关的数据,比如鼠标键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析USB流量分析的一种。
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
CTF流量分析常见题型(二)-USB流量
qwzf
08-01 2万+
0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结。由于篇幅过长,于是另起一篇总结常见流量包分析。包括USB流量包分析和一些其他流量包分析。 0x01 USB流量包分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capt
ctf流量分析练习二
gclome的博客
09-06 4142
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
USB键盘流量分析
BvxiE的博客
07-17 3926
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
杂项——USB键盘鼠标流量分析——BUUCTF——流量分析
2301_80905479的博客
11-02 1992
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途不同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
精选资源
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑外部设备的连接和通讯,例如键盘鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听...
网络流量分析_键盘鼠标解密_GUI_流量梭取工具_1744038988.zip
04-08
键盘鼠标解密则更进一步,它关注的是通过网络流量分析技术,解析出用户计算机交互时产生的键盘鼠标活动记录。这种技术可能会被用于正当的安全分析,也有可能被用于不当的隐私侵犯行为。因此,技术的使用必须...
精选资源
网络安全_CTF竞赛工具_USB键盘鼠标流量分析解密_GUI图形界面自动化处理工具_用于解析和可视化CTF比赛中捕获的USB键盘鼠标流量数据_支持蓝牙键盘流量解析_包含一键绘图功.zip
04-27
本次分享的工具“网络安全_CTF竞赛工具_USB键盘鼠标流量分析解密_GUI图形界面自动化处理工具”,便是为了解决CTF竞赛中USB键盘鼠标流量数据的解析和可视化而设计的。 这款工具专门针对CTF比赛中的实际需求,不仅...
CTFUSB流量分析键盘鼠标数据解码实战
另一方面,“鼠标流量分析”则侧重于轨迹还原。鼠标移动时,USB鼠标会周期性地发送相对位移数据包,包含X轴和Y轴的变化量(通常为带符号的8位整数)。这些增量数据本身无法直接看出图形,但若将所有位移累加并绘制成...
有关于USB流量分析鼠标流量)
2401_88592969的博客
06-29 1331
1,首先打开附件是两个,一个是压缩包,一个是后缀为.ftm的。压缩包先不管,我把.ftm的文件放到随波逐流中,用binwalk提取出来key.pcap,放入Wireshark中可以知道是鼠标流量。raise FileNotFoundError(f"tshark 未找到: {tshark_path}")扫出来是ci{v3erf_0tygidv2_fc0},结合上面的key{xinan}.先是维吉尼亚,再是栅栏解密。"""直接调用 tshark 解析 USB 键盘流量"""# 构建 tshark 命令。
USB流量分析
qq_38680693的博客
11-20 5669
1. USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。2. 题目wireshark打开数据包后发现为usb协议 USB协议数据部分在Leftover Capture Data域中,使用tshark命令将其单独提取出来tshark -r udn.pcapng -T fields -e usb.capdata > us
misc——流量分析usb(2)
2301_81864699的博客
06-19 1510
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
USB键盘流量分析,抓取流量格式详解(CTF
asasfvv的博客
08-20 1658
本文介绍了使用Wireshark抓取USB键盘流量的方法。首先需要安装USBPcap软件配合Wireshark捕获流量,重点分析了键盘数据包的8字节结构:前2字节表示功能键(如Shift、Ctrl),后6字节为普通键码。文章提供了功能键键码的对照规则,并说明如何通过tshark工具导出流量数据(命令:tshark -r file.pcap -Tfields -e usb.capdata > result.txt),便于后续通过脚本自动化解析按键内容。整个过程涵盖了从流量捕获到数据分析的关键步骤。
WireShark下载说明
最新发布
LQ的博客
12-19 228
Wireshark下载说明
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值