USB流量取证分析
0x00:什么是USB?
USB是 UniversalSerial Bus(通用串行總線)的縮寫,是一個(gè)外部總線標(biāo)準(zhǔn),用于規(guī)范電腦與外部設(shè)備的連接和通訊,例如鍵盤、鼠標(biāo)、打印機(jī)、磁盤或網(wǎng)絡(luò)適配器等等。通過對(duì)該接口流量的監(jiān)聽,我們可以得到鍵盤的擊鍵記錄、鼠標(biāo)的移動(dòng)軌跡、磁盤的傳輸內(nèi)容等一系列信息。
USB流量指的是USB設(shè)備接口的流量,攻擊者能夠通過監(jiān)聽usb接口流量獲取鍵盤敲擊鍵、鼠標(biāo)移動(dòng)與點(diǎn)擊、存儲(chǔ)設(shè)備的銘文傳輸通信、USB無線網(wǎng)卡網(wǎng)絡(luò)傳輸內(nèi)容等等。
0x01:USB使用的三種方式
USB協(xié)議版本有USB1.0, USB1.1, USB2.0, USB3.1等,目前USB2.0比較常用。
1. USB UART
UART,這種方式下,設(shè)備只是簡(jiǎn)單的將 USB 用于接受和發(fā)射數(shù)據(jù),除此之外就再?zèng)]有,其他通訊功能了。
2. USB HID
HID 是人性化的接口。這一類通訊適用于交互式,有這種功能的設(shè)備有:鍵盤,鼠標(biāo),游戲手柄和數(shù)字顯示設(shè)備。
3. USB Memory
USB Memory是數(shù)據(jù)存儲(chǔ)
每一個(gè) USB 設(shè)備(尤其是 HID 或者 Memory )都有一個(gè)供應(yīng)商 ID(Vendor ID) 和產(chǎn)品識(shí)別碼(Product Id) 。 Vendor ID 是用來標(biāo)記哪個(gè)廠商生產(chǎn)了這個(gè) USB 設(shè)備。 Product ID 則用來標(biāo)記不同的產(chǎn)品.
0x02:lsusb命令
lsusb命令用于顯示本機(jī)的USB設(shè)備列表,以及USB設(shè)備的詳細(xì)信息。
- Bus 002:指明設(shè)備連接到哪條總線
- Device 002:表明這是連接到總線上的第二臺(tái)設(shè)備
- ID : 設(shè)備的ID
- VMware, Inc. Virtual Mouse:生產(chǎn)商名字和設(shè)備名
詳細(xì)命令
0x03 tshark命令
網(wǎng)絡(luò)抓包,分析工具。wireshark 的 Linux命令行工具
常用命令
tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出來的數(shù)據(jù)有空行,可以將命令改為如下形式:
tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出來的數(shù)據(jù)沒有冒號(hào),可以用腳本來加上冒號(hào)(因?yàn)橐话愕哪_本都會(huì)按照有冒號(hào)的數(shù)據(jù)來識(shí)別,有冒號(hào)時(shí)提取數(shù)據(jù)的[6:8],無冒號(hào)時(shí)數(shù)據(jù)在[4:6])
f=open('usbdata.txt','r') fi=open('out.txt','w') while 1:a=f.readline().strip()if a:if len(a)==8: # 鍵盤流量的話len改為16out=''for i in range(0,len(a),2):if i+2 != len(a):out+=a[i]+a[i+1]+":"else:out+=a[i]+a[i+1]fi.write(out)fi.write('\n')else:breakfi.close()參數(shù):
- -r:設(shè)置tshark分析的輸入文件
- -T:設(shè)置解碼結(jié)果輸出的格式,包括fileds,text,ps,psml和pdml,默認(rèn)為text
參數(shù)詳解
0x04:鼠標(biāo)流量
基礎(chǔ)知識(shí)
鼠標(biāo)移動(dòng)時(shí)表現(xiàn)為連續(xù)性,與鍵盤擊鍵的離散性不一樣,但實(shí)際上鼠標(biāo)動(dòng)作所產(chǎn)生的數(shù)據(jù)包也是離散的。不同的鼠標(biāo)抓到的流量不一樣,一般的鼠標(biāo)流量都是四個(gè)字節(jié)
- 每一個(gè)數(shù)據(jù)包的數(shù)據(jù)區(qū)有四個(gè)字節(jié)。
- 第一個(gè)字節(jié)代表按鍵:
- 第二個(gè)字節(jié)可以看成是一個(gè)signed byte類型,其最高位為符號(hào)位:
- 第三個(gè)字節(jié)與第二字節(jié)類似,代表垂直上下移動(dòng)的偏移。
這個(gè)代表的意思便是鼠標(biāo)右移01像素,垂直向上移動(dòng)fc.
題目練習(xí)
描述:
這是一道鼠標(biāo)流量分析題。
使用下tshark命令將數(shù)據(jù)給提取出來
tshark -r usb2.pcap -T fields -e usb.capdata > usbdata.txt
沒有冒號(hào),需要通過腳本來添加冒號(hào),這題描述說了是鼠標(biāo)流量,所以長(zhǎng)度設(shè)置為8即可
導(dǎo)出之后,利用通用的鼠標(biāo)流量腳本處理下(但這里需要注意的是,因不知道操作者是用左鍵還是右鍵進(jìn)行鼠標(biāo)移動(dòng)以及拖動(dòng)軌跡,所以需要自己嘗試一下),這道題經(jīng)過測(cè)試發(fā)現(xiàn)是用右鍵畫的,將通用腳本中的btn_flag改為2即可。
即可恢復(fù)出一系列坐標(biāo)內(nèi)容
接下來使用命令gnuplot即可恢復(fù)出圖像
拿到本地旋轉(zhuǎn)一下即可獲得flag
除此之外,還可以使用主要用于GitHub上的工具
工具
命令:
python2 UsbMiceDataHacker.py usb2.pcap RIGHT//letf設(shè)置左鍵0x04:鍵盤流量
基礎(chǔ)知識(shí)
鍵盤數(shù)據(jù)包的數(shù)據(jù)長(zhǎng)度為8個(gè)字節(jié),擊鍵信息集中在第3個(gè)字節(jié),每次擊鍵都會(huì)產(chǎn)生一個(gè)數(shù)據(jù)包。所以如果看到給出的數(shù)據(jù)包中的信息都是8個(gè)字節(jié),并且只有第3個(gè)字節(jié)不為0000,那么幾乎可以肯定是一個(gè)鍵盤流量了。
擊鍵信息和數(shù)據(jù)包中16進(jìn)制數(shù)據(jù)的對(duì)照表
詳細(xì)文檔
如:
擊鍵信息為0x09,對(duì)應(yīng)的按鍵信息即為F。
題目練習(xí)
描述:
安全評(píng)測(cè)人員在對(duì)某銀行卡密碼輸入系統(tǒng)進(jìn)行滲透測(cè)試,截獲了一段通過USB鍵盤輸入6位數(shù)字密碼的流量,其中也包含了一些其他無關(guān)的USB設(shè)備的流量,你能從中恢復(fù)出6位數(shù)字密碼嗎?最終提交的flag格式為flag。
先使用命令獲取到數(shù)據(jù)(不能有空格,否則會(huì)出錯(cuò))
tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt
利用腳本加上冒號(hào),長(zhǎng)度改為16即可
通用腳本如下:
參考博客
關(guān)于usb流量分析
ga1axy
總結(jié)
- 上一篇: 工控杯线上赛_wp
- 下一篇: “中能融合杯”线下赛感悟