今天记录下有点意思的Xp0int的Misc~
印象最深的是数据包分析:

一段奇怪的流量

解压得到1.pcap
用WireShark打开流量包:

最后URB_INTERRUPT_IN可以看出来是URB协议、输入中断
查了一下USB、数据包、CTF
找到了这篇http://bobao.360.cn/learning/detail/3351.html
参考它可以看出来Leftover Capture Data中的八个字节应该就是USB键盘传输的信息了

(如果Leftover Capture Data没有在上面显示,可以右击下面的域选择应用为列)

查了一波资料,在这里找到了数据格式说明
http://blog.csdn.net/u013771867/article/details/51465193
第一个字节表示特殊按键、第二个字节保留、3-8字节表示按键
这也就是USB键盘同时只能按下六个键的原因啦—多键同按就没有位置传递了嘛!
(当然也可以通过修改协议来增加数据传输位,以及非USB键盘不遵循这个协议)

USB鼠标的数据传输是4个字节,与这题不符
4个字节中第一字节表示按键,第二表示水平移动,第三表示竖直移动,第四保留

之前看到的那篇分享是直接提取第三字节即可,也就是说正常情况下的敲击记录
但是本题可以看出,3-5字节都有信息,它们是同时按下的,处理的时候也要注意一下
(不过知道这点其实没什么卵用,谁输入字符的时候会同时按两个键啦~)
通过WireShark自带的工具可以将数据包的data提取出来:

tshark.exe -r usb2.pcap -T fields -e usb.capdata > usbdata.txt

然后通过脚本处理:

# 1: 'ErrorRollOver9', 2: 'POSTFail9', 3: 'ErrorUndefined9',
mappings = { 4: 'a', 5: 'b', 6: 'c', 7: 'd', 8: 'e', 9: 'f', 10: 'g', 11: 'h', 12: 'i', 13: 'j', 14: 'k', 15: 'l', 16: 'm', 17: 'n', 18: 'o', 19: 'p', 20: 'q', 21: 'r', 22: 's', 23: 't', 24: 'u', 25: 'v', 26: 'w', 27: 'x', 28: 'y', 29: 'z', 30: '1', 31: '2', 32: '3', 33: '4', 34: '5', 35: '6', 36: '7', 37: '8', 38: '9', 39: '0', 40: '\n', 41: 'ESCAPE', 42: 'DELETE', 43: 'Tab', 44: 'Spacebar', 45: '-', 46: '=', 47: '[', 48: ']', 49: '\\', 50: 'Non-US', 51: ';', 52: '‘', 53: 'Grave', 55: '.', 56: '/', 57: 'Caps', 58: 'F1', 59: 'F2', 60: 'F3', 61: 'F4', 62: 'F5', 63: 'F6', 64: 'F7', 65: 'F8', 66: 'F9', 67: 'F10', 68: 'F11', 69: 'F12', 70: 'PrintScreen1', 71: 'Scroll', 72: 'Pause1', 73: 'Insert1', 74: 'Home1', 75: 'PageUp1', 76: 'Delete', 77: 'End1', 78: 'PageDown1', 79: 'RightArrow1', 80: 'LeftArrow1', 81: 'DownArrow1', 82: 'UpArrow1', 100: 'Non-US', 101: 'Application10', 102: 'Power9', 104: 'F13', 105: 'F14', 106: 'F15', 107: 'F16', 108: 'F17', 109: 'F18', 110: 'F19', 111: 'F20', 112: 'F21', 113: 'F22', 114: 'F23', 115: 'F24', 116: 'Execute', 117: 'Help', 118: 'Menu', 119: 'Select', 120: 'Stop', 121: 'Again', 122: 'Undo', 123: 'Cut', 124: 'Copy', 125: 'Paste', 126: 'Find', 127: 'Mute', 128: 'Volume', 129: 'Volume', 130: 'Locking', 131: 'Locking', 132: 'Locking', 135: 'International115,28', 136: 'International216', 137: 'International317', 138: 'International418', 139: 'International519', 140: 'International620', 141: 'International721', 142: 'International822', 143: 'International922', 144: 'LANG125', 145: 'LANG226', 146: 'LANG330', 147: 'LANG431', 148: 'LANG532', 149: 'LANG68', 150: 'LANG78', 151: 'LANG88', 152: 'LANG98', 153: 'Alternate', 154: 'SysReq/Attention1', 155: 'Cancel', 156: 'Clear', 157: 'Prior', 158: 'Return', 159: 'Separator', 160: 'Out', 161: 'Oper', 162: 'Clear/Again', 163: 'CrSel/Props', 164: 'ExSel'}
nums = []
nums2 = []
nums3 = []
keys = open('usbdata.txt')
for line in keys:nums.append(a)
keys.close()
output = ""
for n in nums:if n == 0 :continueif n in mappings:output = output + mappings[n]else:# output += '[unknown]'passprint('output :\n' + output)

得到键盘输入:

前面都是乱码,看不出什么东西
中间出现了有规律的hex,结尾三个回车加一个Q,让人想到vim呢

查了一下’flag’的十六进制,发现其中有一段正好对应,打印出来看看:

flag.txt,结尾是PK

这不就是ZIP压缩包嘛~
往前翻,找到ZIP文件头 50 4b 03 04,拖到最后复制下来
用十六进制编辑器粘贴进去

注意文件为50 4b 05 06之后还有一些信息,以00 00作为标准结束就好啦

保存为zip后打开,里面果然是一个txt,打开就得到了flag啦

Misc-Xp0int(数据包分析)相关推荐

  1. Wireshark数据包分析之DHCP协议包解读

    *此篇博客仅作为个人笔记和学习参考 DHCP协议包格式 DHCP报文类型 DHCP Discover.DHCP Offer.DHCP Request.DHCP ACK.DHCP NAK.DHCP Re ...

  2. 数据包分析中Drop和iDrop的区别

    数据包分析中Drop和iDrop的区别 在数据包分析中,Drop表示因为过滤丢弃的包.为了区分发送和接受环节的过滤丢弃,把Drop又分为iDrop和Drop.其中,iDrop表示接受环节丢弃的包,Dr ...

  3. WireShark数据包分析数据封装

    WireShark数据包分析数据封装 数据封装(Data Encapsulation)是指将协议数据单元(PDU)封装在一组协议头和尾中的过程.在OSI七层参考模型中,每层主要负责与其它机器上的对等层 ...

  4. pcap文件解析工具_【免费毕设】PHP网络数据包分析工具的设计与开发(源代码+论文)...

    点击上方"蓝字"关注我们目录 系统设计 网络数据包分析系统的设计 整个网络数据报分析工具采用模块化的设计思想,原因是许多程序太长或太复杂,很难写在单一单元中.如果把代码分为较小的功 ...

  5. 基于IPv6数据包分析

    ipv6 数据包分析 1.拓扑图                                                                                     ...

  6. Wireshark数据包分析(一)——使用入门

    Wireshark简介: Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一.在SecTools安全社区里颇受欢迎,曾一度超越Metasploit.Nessus.Aircrack ...

  7. 可视化数据包分析工具-CapAnalysis

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://chenguang.blog.51cto.com/350944/1325742 可 ...

  8. 写一个java的网络数据包分析程序(一)

    需要写一个工具监控我所负责项目中的服务器与客户端的交易事件,而我又不方便修改系统代码(因为此工具只是我自己为了工作方便而作),因此需要通过监听并分析网络数据包来获取信息. 原本打算将tcpdump的C ...

  9. gsm短信猫长短信pdu数据包分析[转]

    原文地址:gsm短信猫长短信pdu数据包分析作者:sunnyboy 查看原文:http://blog.appdoc.cn/2011/04/29/gsm-pdu-packet-analyze [capt ...

  10. 魔兽争霸游戏开始前数据包分析

    转载自:http://blog.csdn.net/binbin0303/article/details/3074755 1.搜索局域网游戏:UDP,端口6112. 0x0000   FF FF FF ...

最新文章

  1. Linux-man命令
  2. django Exception Value:no such table: cmdb_XXX
  3. python3.6.8卸载_CentOS7下安装python3.6.8的教程详解
  4. java冒泡测试代码,冒泡排序(java可直接跑,算法思想等小儿科不多说直接上代码)...
  5. PPTP-***第三章——用户流量与并发数限制
  6. 颜色选择器的设计与实现II
  7. 在不同应用场景中,我们该如何进行测试呢?
  8. gliffy confluen插件gliffy-confluence-plugin-5.1.ja破解
  9. Oracle客户端安装教程(图文)
  10. efs+pro+for+三星android设备,【极光ROM】-【三星S8/S8+ G9550/G9500】-【V30.0 Android-PIE-TL2】...
  11. Android 车载应用开发与分析(5) - CarLauncher(一)
  12. SAP HR系统2019年五一节假日调整
  13. ucfirst() 函数
  14. reg51 reg52区别
  15. scanf可以输入负数吗_在excel表格中输入负数应该怎样输
  16. 深入浅出-交接运维工作
  17. 如何把身份证扫描成电子版?证件转电子版,这3个方法超好用
  18. 【ps功能精通】1.简单了解PS
  19. docker使用alpine镜像
  20. 基于comsol软件弯曲单模光纤模拟仿真

热门文章

  1. c语言建立循环链表,C语言实现循环链表
  2. 蘑菇云matlab程序,蘑菇云刷机精灵怎么用?刷机视频详细图文教程
  3. 全志h6对比晶晨s905_一决雌雄!64位芯片晶晨S905对比瑞芯微RK3368谁胜?
  4. laravel pdf 加水印
  5. windows版本修改,家庭版改专业版,专业版改教育版,或者是改家庭版
  6. ENSP下载还有其他资料地址
  7. python电话簿_python 联系簿
  8. LOL或迈入科技时代?多位主播遭实锤脚本,官方不作为疑似默许!
  9. Mac 如何免费支持NTFS 格式移动硬盘读写
  10. 食堂刷卡消费系统服务器,食堂一卡通消费系统如何使用