20190429进度

Posted on

20190429进度

USB

先利用使用wireshark自带的tshark命令行工具,可以将 leftover capture data单独提取出来,具体如下:先在tshark文件夹下利用cmd命令行执行

1
tshark.exe -r usb1.pcap -T fields -e usb.capdata > usbdata.txt

注意要以管理员身份运行cmd:在以下文件夹中右击以管理员打开cmd.exe

Imgur

1
C:\Windows\System32

可以得到usbdata.txt,

Imgur

可以看到每一个数据包的数据区有四个字节,故这是一个鼠标流量数据。第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。

对网上的代码修改后可得:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
nums = []
keys = open('usbdata.txt','r')
posx = 0
posy = 0
for line in keys:
    if len(line) != 10 : 
        continue
    x = int(line[2:4],16)
    y = int(line[4:6],16)
    if x > 127 :
        x -= 256
    if y > 127 :
        y -= 256
    posx += x
    posy += y
    btn_flag = int(line[0:2],16)  # 1 for left , 2 for right , 0 for nothing
    if btn_flag == 1 :
        print posx , posy

运行后得到坐标点,

Imgur
Imgur

再利用gnuplot绘图得到

Imgur

再利用手机操作进行镜像可以看到flag

Imgur

开始阅读白帽子讲web安全