2018工业信息安全技能大赛华东赛区初赛 第2题 writeup
【未经赞成禁止转载】html
2018工业信息安全技能大赛华东赛区初赛
第2题 解题思路
本题主要考察点是对常见工控协议的理解(modbus/tcp和s7comm),题目目标是寻找出报文中某条异常报文流量。很让人疑惑的是,题目中并无给出“异常流量”特征的定义,因此须要从多个角度探索出题人的意思。python
首先,观察整个抓包文件,其中包含了modbus/tcp、s7comm和极少的tcp周期性握手挥手报文。安全
以后,针对modbus/tcp和s7comm分别进行深刻地分析。此外值得注意的是,一条工控协议报文中相当重要的字段是状态字/控制字/功能码,它直接指示着该条报文的具体做用。网络
对于modbus/tcp而言,本流量中包含的功能码是1:Read Coils、2:Read Discrete Inputs、3:Read Holding Registers、4:Read Input Registers。这些功能码的做用是读取PLC中一些输入量、输出量和中间变量的值。app
对于s7comm而言,本流量中包含的功能码是0xf0:Setup Communication,0x04:Read Var和0x05:Write Var。这些功能码的做用分别是创建链接,读变量和写变量。tcp
其中,最为敏感也是咱们最关心的必然是0x05:Write Var,由于能够将一次写入异常地址/异常数据的行为看成是异常流量。函数
下面咱们着重分析s7comm协议中0x05:Write Var控制字的相关报文,wireshark的筛选条件为:code
s7comm&&s7comm.param.func==0x05htm
筛选结果以下图所示:blog
能够看出,这些0x05:Write Var命令是向PLC中数据块1(DB1)的0x00000起始地址连续写入50字节的数据。
接下来,笼统地排查是否有报文写地址或数据和其余报文不一样?wireshark的筛选条件为:
(((s7comm) && (s7comm.param.func == 0x05)) && (s7comm.header.rosctr == 1)) && (frame[73:12] == 12:0a:10:02:00:32:00:01:84:00:00:00)
以下图所示,如今已经定位到了这条异常报文,下图显示了其异常之处表如今:
在全部控制字为写变量(write var)的s7comm报文中,这条报文写变量的地址(DB 7)与其余报文地址不一样(DB 1)
虽然咱们已经定位到了这条异常报文,可是还没摸清真正答案flag在表现方式上的套路。
按照第三题的套路,直接将报文的hex码转为ascii码就是flag的套路,在这里彷佛无论用了,这是由于上图中wireshark在hex码右侧已经显示出了ascii码,它并无实际的意义。
可是我观察到,这堆ascii码好像又是一串hex数据,所以我想到将这串hex再转换为ascii码试一试,编写转换函数以下:
def hex_to_ascii(payload):
data = payload.decode("hex")
flags = []
for d in data:
_ord = ord(d)
if (_ord > 0) and (_ord < 128):
flags.append(chr(_ord))
return ''.join(flags)
if __name__ == '__main__':
res = hex_to_ascii("4943537365635363616e")
print res
res = hex_to_ascii("57696e")
print res
获得结果以下
ICSsecScan Win
看到这一串有意义的字符串,才敢肯定这就是最终的答案flag。
最后,总结一下这种异常网络流量分析题的套路:
- 以树形结构将此问题域划分为各个子问题域,依次排除子问题域的可能性,子问题域的划分可参照如下二、三、4点;
- 首先,可依据不一样的协议类型进行分类筛选,一般不一样的工控协议之间没有任何逻辑关系,但某些应用层的工控协议和下层传输层协议是由依附关系的(如
s7comm和COTP之间); - 其次,可按工控协议控制字进行分类筛选;
- 依据不一样控制字的不一样报文特征中不一样的关键字段分类筛选;
- 一点技巧:flag每每隐藏在较长的报文当中;
- 二点技巧:准备一些盲目扫描报文的脚本,好比直接扫描报文hex的ascii码中是否出现过
flag字符串,好比报文hex的ascii是否出现连续的hex型数值; - 三点技巧:在以上树形筛选的过程当中,作好历史筛选条件及其结果的记录。
参考资料:
2018年工业信息安全技能大赛(东北赛区)解题报告——工业网络数据分析
CTF WP – 工控业务流量分析
- 1. 2018工业信息安全技能大赛华东赛区初赛 第2题 writeup
- 2. 2019全国大学生信息安全竞赛初赛writeup
- 3. 第六届山东省大学生网络安全技能大赛决赛Writeup
- 4. 2018 年山东省职业技能大赛 中职组“网络空间安全”赛项竞赛赛题
- 5. [CISCN2019 华东北赛区]Web2 WriteUp
- 6. 第十二届全国信息安全竞赛——华中赛区(web1)
- 7. 2018 第十一届全国大学生信息安全竞赛 逆向RE writeup
- 8. 信息技术安全业务竞赛团体赛
- 9. 网络安全管理职业技能大赛WriteUP
- 10. 2018年华为软件精英挑战赛-初赛赛题
- 更多相关文章...
- • Docker 命令大全 - Docker教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
- • Composer 安装与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 「插件」Runner更新Pro版,帮助设计师远离996
- 2. 错误 707 Could not load file or assembly ‘Newtonsoft.Json, Version=12.0.0.0, Culture=neutral, PublicKe
- 3. Jenkins 2018 报告速览,Kubernetes使用率跃升235%!
- 4. TVI-Android技术篇之注解Annotation
- 5. android studio启动项目
- 6. Android的ADIL
- 7. Android卡顿的检测及优化方法汇总(线下+线上)
- 8. 登录注册的业务逻辑流程梳理
- 9. NDK(1)创建自己的C/C++文件
- 10. 小菜的系统框架界面设计-你的评估是我的决策