我目前正在接受法医CTF挑战。我们提供了一个PCAPNG文件。在Wireshark中打开时,该文件包含来自两个设备的一系列URB_INTERRUPT数据包-但没有标识任何一个设备的GET_DESCRIPTOR信息。 />
00:00:00:00:00:00:00:00
00:00:04:00:00:00:00:00
00:00:04:15:00:00:00:00
00:00:00:15:00:00:00:00
00:00:08:15:00:00:00:00
00:00:08:00:00:00:00:00
00:00:00:00:00:00:00:00
02:00:00:00:00:00:00:00
02:00:2d:00:00:00:00:00
00:00:2d:00:00:00:00:00


我猜这是一个键盘,我将序列解码为以下消息:

scanlines-are-real-cool-guys


提示,对不对?来自第二个设备的第二个(更长的)URB_INTERRUPT数据包序列是7位数据,如下所示:

基于以下事实,大多数鼠标数据似乎仅包含4位:


只有两个位似乎发生了显着变化-所有其他位似乎都只有0001ff-因此可能是x和y坐标
变量数据停留在0到255之间
鼠标和键盘似乎是使用URB_INTERRUPT


的最常见设备>根据这个猜测,我通过AWK发送了数据:但是没有运气-剧情最终显示为:



并没有特别的帮助。还有哪些其他设备可以发送7位URB_INTERRUPT数据?攻击此身份验证过程的最佳方法是什么?

谢谢!

评论

您可以提供pcap文件吗?

@SYS_V当然-这是一个链接:file.io/qm7oMO-谢谢!