CTF工控工业互联网(ISC)复现总结WP(超详细)

2024-03-05 14:20

本文主要是介绍CTF工控工业互联网(ISC)复现总结WP(超详细),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

工业互联网复现

    • Modbus协议:
    • MMS协议:
    • S7Comm协议:
    • ISC工业互联网比赛题目复现:
        • Modbus协议分析:
        • 组态软件安全分析:
        • 工业协议分析1:
        • 工业协议分析2:
        • 特殊的工控流量:
        • 异常的工程文件:
        • 异常的流量分析:
        • 简单Modbus协议分析:
        • modbus:
        • 工控组态分析:
        • S7协议恶意攻击分析:
        • 上位机通讯异常分析:
        • 黑客的大意:
        • 工控协议数据分析:

Modbus协议:

Modbus 市场占有率高、出题频率高,算是最常见的题目,
因为这个协议也是工控领域最常见的协议之一,主要有三类:

  • Modbus/RTU:

  • 从机地址1B+功能码1B+数据字段xB+CRC2B

  • 最大长度256B,所以数据字段最大长度252B

  • Modbus/ASCII:

  • Modbus/RTU衍生,采用0123456789ABCDEF 表示原本的从机地址、功能码、数据字段,并添加开始结束标记,所以长度翻倍

  • 开始标记:(0x3A)1B+从机地址2B+功能码2B+数据字段xB+LRC2B+结束标记\r\n2B

  • 最大长度513B,因为数据字段在RTU中是最大252B,所以在ASCII中最大504B

  • Modbus/TCP:

  • 不再需要从机地址,改用UnitID;不再需要CRC/LRC,因为TCP自带校验

  • 传输标识符2B+协议标识符2B+长度2B+从机ID 1B+功能码1B+数据字段xB

功能编码:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

MMS协议:

工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做题,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下

initiate(可以理解为握手)initiate-RequestPDUinitiate-ResponsePDUconfirmed(可以理解为交互,即传数据)confirmed-RequestPDUconfirmed-ResponsePDU

通常情况为:

1轮initiate:即发送1个initiate-RequestPDU,接收1个initiate-ResponsePDUn轮confirmed:直到会话主动关闭或被动断开即confirmed-RequestPDU和confirmed-ResponsePDU交替发送和接收

交互时的指令称为confirmedService 常见的confirmedService有:

对象操作:

  • getNameList (1)

  • read (4)

  • write (5)

  • getVariableAccessAttributes (6)

  • getNamedVariableListAttributes (12)

文件操作:

  1. fileOpen 打开文件(72)
  2. fileRead 读取文件(73)
  3. fileClose 关闭文件(74)
  4. fileDirectory 文件目录(77)

S7Comm协议:

S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种

S7Comm协议包含三部分:

  • Header:主要是数据的描述性信息,包含长度信息,PDU参考和消息类型常量,最重要的是要表明PDU的类型
  • Parameter:参数,随着不同类型的PDU会有不同的参数
  • Data:数据,该数据是一个可选字段来携带数据,例如存储器值,块代码,固件数据等。

在这里插入图片描述

  • Protocol ID: [1b]协议常量,始终设置为0x32

Message Type: [1b]消息的一般类型(有时称为ROSCTR类型),消息的其余部分在很大程度上取决于Message Type和功能代码。

0x01- Job Request:主站发送的请求(例如读/写存储器,读/写块,启动/停止设备,通信设置)
0x02- Ack:从站发送的简单确认没有数据字段(从未见过它由S300 / S400设备发送)
x03- Ack-Data:带有可选数据字段的确认,包含对作业请求的回复
0x07- Userdata:原始协议的扩展,参数字段包含请求/响应id,(用于编程/调试,SZL读取,安全功能,时间设置,循环读取…)

Reserved: [2b]始终设置为0x0000(但可能忽略)

PDU reference: [2b]由主站生成,每次新传输递增,用于链接对其请求的响应,Little-Endian(注意:这是WinCC,Step7和其他西门子程序的行为,它可能是随机的生成后,PLC只将其复制到回复中)

  • Parameter Length: [2b]参数字段的长度,Big-Endian
  • Data Length: [2b]数据字段的长度,Big-Endian

在这里插入图片描述

其实这里就只用记住他的特征码就知道他干了什么(异常中,不一样的):

  • 0x01,硬件错误
  • 0x03,想访问的东西不让访问
  • 0x05,地址越界了
  • 0x06,你请求的数据类型和请求的”东西“的数据类型不一致

数据读取/与写入(0x04和0x05):

在这里插入图片描述
在这里插入图片描述
功能码:
在这里插入图片描述
区域类型:

在这里插入图片描述

ISC工业互联网比赛题目复现:

Modbus协议分析:

2019-工业信息安全技能大赛-深圳站-Modbus协议分析

黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG。格式为flag{}

一般这种题目就是使用脚本提取然后 查看常见协议的功能码 然后在进一步分析。

这里是Moudbus协议而且是Modbus/TCP的脚本提取

import pyshark
def get_code():captures = pyshark.FileCapture("Modbus.pcap")func_codes = {}for c in captures:for pkt in c:if pkt.layer_name == "modbus":func_code = int(pkt.func_code)if func_code in func_codes:func_codes[func_code] += 1else:func_codes[func_code] = 1print(func_codes)
if __name__ == '__main__':get_code()

在这里插入图片描述

四个功能码都出现了702次,唯独16(预置多个寄存器)功能码只出现了两次,所以猜测与16功能码相关的流量可能存在关键数据,于是运行脚本分析与16功能码相关的流量,提取其中的数据,脚本和运行结果如下:

import pysharkdef find_flag():cap = pyshark.FileCapture("Modbus.pcap")idx = 1for c in cap:for pkt in c:func_code = int(pkt.func_code)if pkt.layer_name == "modbus" and if func_code == 16:payload = str(c["TCP"].payload).replace(":", "")print(hex_to_ascii(payload))print("{0} *".format(idx))idx += 1
def hex_to_ascii(payload):data = payloadflags = []for d in data:_ord = ord(d)if (_ord > 0) and (_ord < 128):flags.append(chr(_ord))return ''.join(flags)if __name__ == '__main__':find_flag()

将16进制字符串在线转换对应的ASII码,得到TheModbusProtocolIsFunny!

flag{TheModbusProtocolIsFunny!}

组态软件安全分析:

2019-工业信息安全技能大赛-深圳站-组态软件安全分析

一些组态软件中进行会配置连接很多PLC设备信息。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。

放入010 发现是PK 头修改zip后缀 因为文件比较多直接放入kali 使用 grep 进行过滤 找flag

grep -r "flag" ./

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

flag{D076-4D7E-92AC-A05ACB788292}

工业协议分析1:

2019-工业信息安全技能大赛-深圳站-工业协议分析1

工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。格式为 flag{}

这个是MMS协议先过滤,然后在ctrl +Fflag 先是77就是有目录,然后就是打开了flag.txt文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
使用过滤规则 (mms) && (mms.fileRead == 87504092) 找到1800序列号

在使用过滤规则查看回显包(frame.number == 1801) 因为是回显包所以过滤1801

看到一串数据 data 一眼Base64编码 只想想到转图片 然后提取即可。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述



在这里插入图片描述
PS:如果复制不出来可以使用 strings 提取命令如下:

strings test.pcap |grep ".png"

在这里插入图片描述

flag{ICS-mms104}

工业协议分析2:

数据包名称是UDP数据估计这个是考点 先过滤一下 发现len 的长度有些重复了 排个序看看。

发现这几个好像没重复 105 好像可以看到flag标识 131137 下面好像是字符串提取转ASCII

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

666c61677b37466f4d3253746b6865507a7d

在这里插入图片描述

PS:其实flag16进制为666c6167 看到后面这一窜大概可以知道了 大家可以记一下。

flag{7FoM2StkhePz}

特殊的工控流量:

某10段工控网络中,工业协议中存在异常数据。请通过流量中的数据找寻flag。格式为flag{}

S7comm工控流量 直接筛选协议,然后就排个序就一直按(下键)知道找到这一条。

然后转码 和上面的题目一样的 得到flag

在这里插入图片描述
在这里插入图片描述

69735f6e6f745f7265616c

在这里插入图片描述

flag{is_not_real}

异常的工程文件:

2020-之江杯-异常的工程文件

现存在一份被黑客攻击修改了的工程文件,请应急工作人员找出黑客攻击的痕迹,flag格式为:flag{}。

文件有点大,直接strings 查看一下 配合xargsgrep使用 搜flag

strings $(find . | xargs) | grep flag

在这里插入图片描述
在这里插入图片描述

flag{854P_l5q2_9Y4a_30Yw}

异常的流量分析:

2020-之江杯-异常的流量分析

工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。

这里是Modbus协议和上面MMS那题一样,数据包里面有相关回显包TCP的里面就是图片

这里没找到,直接放kali 使用strings 直接搜相关图片特征不是png就是jpg

strings   9.pcap  |grep ".jpg"      #下次可以直接先搜 搜不到在数据包里面找

在这里插入图片描述

在线Base64转图片:https://tool.jisuapi.com/base642pic.html

在这里插入图片描述

flag{4eSyVERxvt70}

简单Modbus协议分析:

2020-之江杯-简单Modbus协议分析

由于操作员操作不当导致化工车间蒸馏塔控制器程序出错,请分析错误程序查找错误点并获得flag,flag格式为flag{}。

里面好像没有工控的协议,我们直接使用strings 直接 搜相关信息666c6167

PS:为啥是搜666c6167呢这个上面也讲了 就是flagASCII

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

666c61677b44477377546667793147443233366673327366463264736b4c6e677d

在这里插入图片描述

flag{DGswTfgy1GD236fs2sfF2dskLng}

modbus:

2020-之江杯-Modbus

工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。

Modbus协议直接过滤 然后分组字节流搜666c 找到 flag的标识,继续往下找即可。

在这里插入图片描述

有点不好找老样子使用strings 进行过滤 strings 6.pcap | grep -E "^.{10}$"

.为匹配任意内容
^为匹配开头
{10}匹配的数量
$为匹配结尾

在这里插入图片描述

666c61677b => flag{
3138676854 => 18ghT
317772337d => 1wr3}

在这里插入图片描述

flag{18ghT1wr3}

工控组态分析:

2020-之江杯-工控组态分析

gk文件添加zip后缀,解压得到.PCZ文件 使用工具力控得 我用的7.1版本

然后恢复文件 运行即可看到flag

PS:工具网上有这里我贴一个链接 方便大家复现吧(良心博主!!!)

ForceControl下载:

在这里插入图片描述

flag{NxdzzOE3qqqqHk6lqOXM}

S7协议恶意攻击分析:

2020-之江杯-S7协议恶意攻击分析

某天在硫化车间脱硫工艺所使用的的西门子PLC突然发生停机事件,经工厂人员调查发现该时间段PLC存在多次异常行为,请协助调查人员找出PLC相关行为,flag为异常行为数据包的前四位加后四位,格式为flag{}。

S7comm的工控协议 使用tcp.stream eq 0 分析0流的S7 Communication

1321条为异常数据 stop 前四位和后四位拼接。

在这里插入图片描述

flag{3201414d}

上位机通讯异常分析:

2020-之江杯-上位机通讯异常分析

生产车间某流水线运行异常,而上位机SCADA系统未开启报警功能,导致无法查询控制设备异常情况,请根据组态软件与控制设备之间通讯流量查找问题,flag为异常数据包data内容,flag格式为flag{}。

筛选S7somm6847 这一条的data找到了异常,

Return code返回为Hardware error(0x01) 硬件错误上面 协议有介绍

在这里插入图片描述

flag{010400100100}

黑客的大意:

2019-工业信息安全技能大赛-哈尔滨站-黑客的大意

黑客在入侵后不小心留下了这样一个文件,请分析文件进行溯源,找到黑客的邮箱。flag格式为flag{邮箱账号}

放入010 png文件修改后缀, 从图片中可见 WATCHIN YUR SCREENZ的字样,

github中搜索可知图来源于gcat这个程序

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

flag{gcat.is.the.shit@gmail.com}

工控协议数据分析:

2020-工业信息安全技能大赛-湖州站-工控协议数据分析

运维人员在某工控环境内网发现内网控制系统被攻破,附件为从现场抓取的报文, 请通过分析报文,得出黑客都获取到了哪些信息?flag格式为:flag{}。

筛选S7comm协议 在Data中 发现二进制 01100110f

在这里插入图片描述
在这里插入图片描述

继续使用过滤规则:(s7comm) && (s7comm.param.func == 0x05) && (s7comm.header.rosctr == 1)

在这里插入图片描述

011001100110110001100001011001110111101101100110011011000110000101100111010111110110100101110011010111110110100001100101011100100110010101111101

在这里插入图片描述

flag{flag_is_here}

这篇关于CTF工控工业互联网(ISC)复现总结WP(超详细)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/776790

相关文章

Java操作PDF文件实现签订电子合同详细教程

《Java操作PDF文件实现签订电子合同详细教程》:本文主要介绍如何在PDF中加入电子签章与电子签名的过程,包括编写Word文件、生成PDF、为PDF格式做表单、为表单赋值、生成文档以及上传到OB... 目录前言:先看效果:1.编写word文件1.2然后生成PDF格式进行保存1.3我这里是将文件保存到本地后

windows系统下shutdown重启关机命令超详细教程

《windows系统下shutdown重启关机命令超详细教程》shutdown命令是一个强大的工具,允许你通过命令行快速完成关机、重启或注销操作,本文将为你详细解析shutdown命令的使用方法,并提... 目录一、shutdown 命令简介二、shutdown 命令的基本用法三、远程关机与重启四、实际应用

Python中实现进度条的多种方法总结

《Python中实现进度条的多种方法总结》在Python编程中,进度条是一个非常有用的功能,它能让用户直观地了解任务的进度,提升用户体验,本文将介绍几种在Python中实现进度条的常用方法,并通过代码... 目录一、简单的打印方式二、使用tqdm库三、使用alive-progress库四、使用progres

使用SpringBoot创建一个RESTful API的详细步骤

《使用SpringBoot创建一个RESTfulAPI的详细步骤》使用Java的SpringBoot创建RESTfulAPI可以满足多种开发场景,它提供了快速开发、易于配置、可扩展、可维护的优点,尤... 目录一、创建 Spring Boot 项目二、创建控制器类(Controller Class)三、运行

springboot整合gateway的详细过程

《springboot整合gateway的详细过程》本文介绍了如何配置和使用SpringCloudGateway构建一个API网关,通过实例代码介绍了springboot整合gateway的过程,需要... 目录1. 添加依赖2. 配置网关路由3. 启用Eureka客户端(可选)4. 创建主应用类5. 自定

最新版IDEA配置 Tomcat的详细过程

《最新版IDEA配置Tomcat的详细过程》本文介绍如何在IDEA中配置Tomcat服务器,并创建Web项目,首先检查Tomcat是否安装完成,然后在IDEA中创建Web项目并添加Web结构,接着,... 目录配置tomcat第一步,先给项目添加Web结构查看端口号配置tomcat    先检查自己的to

使用Nginx来共享文件的详细教程

《使用Nginx来共享文件的详细教程》有时我们想共享电脑上的某些文件,一个比较方便的做法是,开一个HTTP服务,指向文件所在的目录,这次我们用nginx来实现这个需求,本文将通过代码示例一步步教你使用... 在本教程中,我们将向您展示如何使用开源 Web 服务器 Nginx 设置文件共享服务器步骤 0 —

SpringBoot集成SOL链的详细过程

《SpringBoot集成SOL链的详细过程》Solanaj是一个用于与Solana区块链交互的Java库,它为Java开发者提供了一套功能丰富的API,使得在Java环境中可以轻松构建与Solana... 目录一、什么是solanaj?二、Pom依赖三、主要类3.1 RpcClient3.2 Public

Android数据库Room的实际使用过程总结

《Android数据库Room的实际使用过程总结》这篇文章主要给大家介绍了关于Android数据库Room的实际使用过程,详细介绍了如何创建实体类、数据访问对象(DAO)和数据库抽象类,需要的朋友可以... 目录前言一、Room的基本使用1.项目配置2.创建实体类(Entity)3.创建数据访问对象(DAO

手把手教你idea中创建一个javaweb(webapp)项目详细图文教程

《手把手教你idea中创建一个javaweb(webapp)项目详细图文教程》:本文主要介绍如何使用IntelliJIDEA创建一个Maven项目,并配置Tomcat服务器进行运行,过程包括创建... 1.启动idea2.创建项目模板点击项目-新建项目-选择maven,显示如下页面输入项目名称,选择