[PICOCTF](FORENSICS)Just Keyp Trying

2019年5月14日 154次阅读 来源: 王一航

简介 :

Just Keyp Trying
  Here's an interesting capture of some data. But what exactly is this data? Take a look
HINTS
  1. Find out what kind of packets these are. What does the info column say in  Wireshark/Cloudshark?
  2. What changes between packets? What does that data look like?
  3. Maybe take a look at http://www.usb.org/developers/hidpage/Hut1_12v2.pdf?

数据包下载 :

data.pcap

分析 :

根据 WireShark 分析 , 是一个 USB 流量包 , 根据提示信息找到USB流量的文档发现 :

《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png
《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png
《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png

根据对应关系 , 发现前两个为 F 和 L , 基本上就可以确定思路了 , FLAG{xxxx}嘛
然后自己根据这个映射关系写了一个Python小工具用来从Pcap流量包中提取键盘的击键信息
分享给大家 , 还有一个工具是用来分析USB鼠标的移动及拖拽信息的 , 基本原理类似 , 去查询文档即可
下面附上几张截图 :

《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png
《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png
《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png
《[PICOCTF](FORENSICS)Just Keyp Trying》 Paste_Image.png

工具分享 :

  1. USB键盘流量恢复工具
  2. USB鼠标流量恢复工具

参考资料 :

  1. USB协议文档
  2. 【技术分享】从CTF中学USB流量捕获与解析
    原文作者:王一航
    原文地址: https://www.jianshu.com/p/8503d47bf35e
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞