今天记录下有点意思的Xp0int的Misc~
印象最深的是数据包分析:

一段奇怪的流量

解压得到1.pcap
用WireShark打开流量包:

最后URB_INTERRUPT_IN可以看出来是URB协议、输入中断
查了一下USB、数据包、CTF
找到了这篇http://bobao.360.cn/learning/detail/3351.html
参考它可以看出来Leftover Capture Data中的八个字节应该就是USB键盘传输的信息了

(如果Leftover Capture Data没有在上面显示,可以右击下面的域选择应用为列)

查了一波资料,在这里找到了数据格式说明
http://blog.csdn.net/u013771867/article/details/51465193
第一个字节表示特殊按键、第二个字节保留、3-8字节表示按键
这也就是USB键盘同时只能按下六个键的原因啦—多键同按就没有位置传递了嘛!
(当然也可以通过修改协议来增加数据传输位,以及非USB键盘不遵循这个协议)

USB鼠标的数据传输是4个字节,与这题不符
4个字节中第一字节表示按键,第二表示水平移动,第三表示竖直移动,第四保留

之前看到的那篇分享是直接提取第三字节即可,也就是说正常情况下的敲击记录
但是本题可以看出,3-5字节都有信息,它们是同时按下的,处理的时候也要注意一下
(不过知道这点其实没什么卵用,谁输入字符的时候会同时按两个键啦~)
通过WireShark自带的工具可以将数据包的data提取出来:

tshark.exe -r usb2.pcap -T fields -e usb.capdata > usbdata.txt

然后通过脚本处理:

# 1: 'ErrorRollOver9', 2: 'POSTFail9', 3: 'ErrorUndefined9',
mappings = { 4: 'a', 5: 'b', 6: 'c', 7: 'd', 8: 'e', 9: 'f', 10: 'g', 11: 'h', 12: 'i', 13: 'j', 14: 'k', 15: 'l', 16: 'm', 17: 'n', 18: 'o', 19: 'p', 20: 'q', 21: 'r', 22: 's', 23: 't', 24: 'u', 25: 'v', 26: 'w', 27: 'x', 28: 'y', 29: 'z', 30: '1', 31: '2', 32: '3', 33: '4', 34: '5', 35: '6', 36: '7', 37: '8', 38: '9', 39: '0', 40: '\n', 41: 'ESCAPE', 42: 'DELETE', 43: 'Tab', 44: 'Spacebar', 45: '-', 46: '=', 47: '[', 48: ']', 49: '\\', 50: 'Non-US', 51: ';', 52: '‘', 53: 'Grave', 55: '.', 56: '/', 57: 'Caps', 58: 'F1', 59: 'F2', 60: 'F3', 61: 'F4', 62: 'F5', 63: 'F6', 64: 'F7', 65: 'F8', 66: 'F9', 67: 'F10', 68: 'F11', 69: 'F12', 70: 'PrintScreen1', 71: 'Scroll', 72: 'Pause1', 73: 'Insert1', 74: 'Home1', 75: 'PageUp1', 76: 'Delete', 77: 'End1', 78: 'PageDown1', 79: 'RightArrow1', 80: 'LeftArrow1', 81: 'DownArrow1', 82: 'UpArrow1', 100: 'Non-US', 101: 'Application10', 102: 'Power9', 104: 'F13', 105: 'F14', 106: 'F15', 107: 'F16', 108: 'F17', 109: 'F18', 110: 'F19', 111: 'F20', 112: 'F21', 113: 'F22', 114: 'F23', 115: 'F24', 116: 'Execute', 117: 'Help', 118: 'Menu', 119: 'Select', 120: 'Stop', 121: 'Again', 122: 'Undo', 123: 'Cut', 124: 'Copy', 125: 'Paste', 126: 'Find', 127: 'Mute', 128: 'Volume', 129: 'Volume', 130: 'Locking', 131: 'Locking', 132: 'Locking', 135: 'International115,28', 136: 'International216', 137: 'International317', 138: 'International418', 139: 'International519', 140: 'International620', 141: 'International721', 142: 'International822', 143: 'International922', 144: 'LANG125', 145: 'LANG226', 146: 'LANG330', 147: 'LANG431', 148: 'LANG532', 149: 'LANG68', 150: 'LANG78', 151: 'LANG88', 152: 'LANG98', 153: 'Alternate', 154: 'SysReq/Attention1', 155: 'Cancel', 156: 'Clear', 157: 'Prior', 158: 'Return', 159: 'Separator', 160: 'Out', 161: 'Oper', 162: 'Clear/Again', 163: 'CrSel/Props', 164: 'ExSel'}
nums = []
nums2 = []
nums3 = []
keys = open('usbdata.txt')
for line in keys:nums.append(a)
keys.close()
output = ""
for n in nums:if n == 0 :continueif n in mappings:output = output + mappings[n]else:# output += '[unknown]'passprint('output :\n' + output)

得到键盘输入:

前面都是乱码,看不出什么东西
中间出现了有规律的hex,结尾三个回车加一个Q,让人想到vim呢

查了一下’flag’的十六进制,发现其中有一段正好对应,打印出来看看:

flag.txt,结尾是PK

这不就是ZIP压缩包嘛~
往前翻,找到ZIP文件头 50 4b 03 04,拖到最后复制下来
用十六进制编辑器粘贴进去

注意文件为50 4b 05 06之后还有一些信息,以00 00作为标准结束就好啦

保存为zip后打开,里面果然是一个txt,打开就得到了flag啦

Misc-Xp0int(数据包分析)相关推荐

  1. Wireshark数据包分析之DHCP协议包解读

    *此篇博客仅作为个人笔记和学习参考 DHCP协议包格式 DHCP报文类型 DHCP Discover.DHCP Offer.DHCP Request.DHCP ACK.DHCP NAK.DHCP Re ...

  2. 数据包分析中Drop和iDrop的区别

    数据包分析中Drop和iDrop的区别 在数据包分析中,Drop表示因为过滤丢弃的包.为了区分发送和接受环节的过滤丢弃,把Drop又分为iDrop和Drop.其中,iDrop表示接受环节丢弃的包,Dr ...

  3. WireShark数据包分析数据封装

    WireShark数据包分析数据封装 数据封装(Data Encapsulation)是指将协议数据单元(PDU)封装在一组协议头和尾中的过程.在OSI七层参考模型中,每层主要负责与其它机器上的对等层 ...

  4. pcap文件解析工具_【免费毕设】PHP网络数据包分析工具的设计与开发(源代码+论文)...

    点击上方"蓝字"关注我们目录 系统设计 网络数据包分析系统的设计 整个网络数据报分析工具采用模块化的设计思想,原因是许多程序太长或太复杂,很难写在单一单元中.如果把代码分为较小的功 ...

  5. 基于IPv6数据包分析

    ipv6 数据包分析 1.拓扑图                                                                                     ...

  6. Wireshark数据包分析(一)——使用入门

    Wireshark简介: Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一.在SecTools安全社区里颇受欢迎,曾一度超越Metasploit.Nessus.Aircrack ...

  7. 可视化数据包分析工具-CapAnalysis

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://chenguang.blog.51cto.com/350944/1325742 可 ...

  8. 写一个java的网络数据包分析程序(一)

    需要写一个工具监控我所负责项目中的服务器与客户端的交易事件,而我又不方便修改系统代码(因为此工具只是我自己为了工作方便而作),因此需要通过监听并分析网络数据包来获取信息. 原本打算将tcpdump的C ...

  9. gsm短信猫长短信pdu数据包分析[转]

    原文地址:gsm短信猫长短信pdu数据包分析作者:sunnyboy 查看原文:http://blog.appdoc.cn/2011/04/29/gsm-pdu-packet-analyze [capt ...

  10. 魔兽争霸游戏开始前数据包分析

    转载自:http://blog.csdn.net/binbin0303/article/details/3074755 1.搜索局域网游戏:UDP,端口6112. 0x0000   FF FF FF ...

最新文章

  1. 怎样找出插件的api地址_百度云盘免登陆高速下载,调用度云简易分享地址提取在线工具...
  2. Lottie开源动画库
  3. python中的单继承,多继承和mro顺序
  4. 35 CO配置-控制-产品成本控制-成本对象控制-期末结算-定义在产品和废品的评估变式 (目标成本)
  5. mfc大观之一(全局对象)
  6. 超10000支团队参赛,阿里云首届云原生编程挑战赛完美收官
  7. 三菱a系列motion软体_三菱系列 PLC常见问题解答
  8. 软件工程专业学习路线
  9. python爬虫(20)获取酷我音乐排行榜榜单作品
  10. android10手机运行内存怎么查看,安卓手机怎么查看手机内存
  11. 问题:未连接到互联网 代理服务器出现问题,或者地址有误。
  12. 嵌入式linux之go语言开发(三)卡库的封装
  13. dubbo解析-Merger接口作用及其实现类介绍
  14. 最大期望(EM)算法
  15. 1 Introduction  介绍
  16. LaTex 制作简历
  17. 通信系统中使用的均衡器简介
  18. 赛门铁克警告Switch模拟器下载链接实为垃圾站点
  19. Python基础知识归纳
  20. 隐藏的历史-是什么成就了今天的硅谷?

热门文章

  1. 房产中介管理系统,房产中介预约看房系统,看房预约系统毕设作品
  2. 软件测试面试题(2020.6.29)
  3. 手机及电脑抓包(tcp,udp,http)
  4. 电子签章系统研发总结
  5. matlab printf格式化输出,如何使用 printf 来格式化输出
  6. 服务器组态文件己写保护,组态王常见问题集锦(一)
  7. android 字体显示框架,资源样式 - 主题 - 《XUI - Android 原生 UI 框架》 - 书栈网 · BookStack...
  8. 安装Dukto局域网通讯工具
  9. python: 校园网登录脚本
  10. 20135202闫佳歆-期中总结