[PICOCTF](FORENSICS)Just Keyp Trying

简介 :

Just Keyp Trying
  Here's an interesting capture of some data. But what exactly is this data? Take a look
HINTS
  1. Find out what kind of packets these are. What does the info column say in  Wireshark/Cloudshark?
  2. What changes between packets? What does that data look like?
  3. Maybe take a look at http://www.usb.org/developers/hidpage/Hut1_12v2.pdf?

数据包下载 :

data.pcap

分析 :

根据 WireShark 分析 , 是一个 USB 流量包 , 根据提示信息找到USB流量的文档发现 :

Paste_Image.png
Paste_Image.png
Paste_Image.png

根据对应关系 , 发现前两个为 F 和 L , 基本上就可以确定思路了 , FLAG{xxxx}嘛
然后自己根据这个映射关系写了一个Python小工具用来从Pcap流量包中提取键盘的击键信息
分享给大家 , 还有一个工具是用来分析USB鼠标的移动及拖拽信息的 , 基本原理类似 , 去查询文档即可
下面附上几张截图 :

Paste_Image.png
Paste_Image.png
Paste_Image.png
Paste_Image.png

工具分享 :

  1. USB键盘流量恢复工具
  2. USB鼠标流量恢复工具

参考资料 :

  1. USB协议文档
  2. 【技术分享】从CTF中学USB流量捕获与解析
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容