2018工業信息安全技能大賽華東賽區初賽 第2題 writeup
【未經贊成禁止轉載】html
2018工業信息安全技能大賽華東賽區初賽
第2題 解題思路
本題主要考察點是對常見工控協議的理解(modbus/tcp和s7comm),題目目標是尋找出報文中某條異常報文流量。很讓人疑惑的是,題目中並無給出「異常流量」特徵的定義,因此須要從多個角度探索出題人的意思。python
首先,觀察整個抓包文件,其中包含了modbus/tcp、s7comm和極少的tcp週期性握手揮手報文。安全
以後,針對modbus/tcp和s7comm分別進行深刻地分析。此外值得注意的是,一條工控協議報文中相當重要的字段是狀態字/控制字/功能碼,它直接指示着該條報文的具體做用。網絡
對於modbus/tcp而言,本流量中包含的功能碼是1:Read Coils、2:Read Discrete Inputs、3:Read Holding Registers、4:Read Input Registers。這些功能碼的做用是讀取PLC中一些輸入量、輸出量和中間變量的值。app
對於s7comm而言,本流量中包含的功能碼是0xf0:Setup Communication,0x04:Read Var和0x05:Write Var。這些功能碼的做用分別是創建鏈接,讀變量和寫變量。tcp
其中,最爲敏感也是咱們最關心的必然是0x05:Write Var,由於能夠將一次寫入異常地址/異常數據的行爲看成是異常流量。函數
下面咱們着重分析s7comm協議中0x05:Write Var控制字的相關報文,wireshark的篩選條件爲:code
s7comm&&s7comm.param.func==0x05htm
篩選結果以下圖所示:blog
能夠看出,這些0x05:Write Var命令是向PLC中數據塊1(DB1)的0x00000起始地址連續寫入50字節的數據。
接下來,籠統地排查是否有報文寫地址或數據和其餘報文不一樣?wireshark的篩選條件爲:
(((s7comm) && (s7comm.param.func == 0x05)) && (s7comm.header.rosctr == 1)) && (frame[73:12] == 12:0a:10:02:00:32:00:01:84:00:00:00)
以下圖所示,如今已經定位到了這條異常報文,下圖顯示了其異常之處表如今:
在全部控制字爲寫變量(write var)的s7comm報文中,這條報文寫變量的地址(DB 7)與其餘報文地址不一樣(DB 1)
雖然咱們已經定位到了這條異常報文,可是還沒摸清真正答案flag在表現方式上的套路。
按照第三題的套路,直接將報文的hex碼轉爲ascii碼就是flag的套路,在這裏彷佛無論用了,這是由於上圖中wireshark在hex碼右側已經顯示出了ascii碼,它並無實際的意義。
可是我觀察到,這堆ascii碼好像又是一串hex數據,所以我想到將這串hex再轉換爲ascii碼試一試,編寫轉換函數以下:
def hex_to_ascii(payload):
data = payload.decode("hex")
flags = []
for d in data:
_ord = ord(d)
if (_ord > 0) and (_ord < 128):
flags.append(chr(_ord))
return ''.join(flags)
if __name__ == '__main__':
res = hex_to_ascii("4943537365635363616e")
print res
res = hex_to_ascii("57696e")
print res
獲得結果以下
ICSsecScan Win
看到這一串有意義的字符串,纔敢肯定這就是最終的答案flag。
最後,總結一下這種異常網絡流量分析題的套路:
- 以樹形結構將此問題域劃分爲各個子問題域,依次排除子問題域的可能性,子問題域的劃分可參照如下二、三、4點;
- 首先,可依據不一樣的協議類型進行分類篩選,一般不一樣的工控協議之間沒有任何邏輯關係,但某些應用層的工控協議和下層傳輸層協議是由依附關係的(如
s7comm和COTP之間); - 其次,可按工控協議控制字進行分類篩選;
- 依據不一樣控制字的不一樣報文特徵中不一樣的關鍵字段分類篩選;
- 一點技巧:flag每每隱藏在較長的報文當中;
- 二點技巧:準備一些盲目掃描報文的腳本,好比直接掃描報文hex的ascii碼中是否出現過
flag字符串,好比報文hex的ascii是否出現連續的hex型數值; - 三點技巧:在以上樹形篩選的過程當中,作好歷史篩選條件及其結果的記錄。
參考資料:
2018年工業信息安全技能大賽(東北賽區)解題報告——工業網絡數據分析
CTF WP – 工控業務流量分析
- 1. 2018工業信息安全技能大賽華東賽區初賽 第2題 writeup
- 2. 2019全國大學生信息安全競賽初賽writeup
- 3. 第六屆山東省大學生網絡安全技能大賽決賽Writeup
- 4. 2018 年山東省職業技能大賽 中職組「網絡空間安全」賽項競賽賽題
- 5. [CISCN2019 華東北賽區]Web2 WriteUp
- 6. 第十二屆全國信息安全競賽——華中賽區(web1)
- 7. 2018 第十一屆全國大學生信息安全競賽 逆向RE writeup
- 8. 信息技術安全業務競賽團體賽
- 9. 網絡安全管理職業技能大賽WriteUP
- 10. 2018年華爲軟件精英挑戰賽-初賽賽題
- 更多相關文章...
- • Docker 命令大全 - Docker教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • IntelliJ IDEA中SpringBoot properties文件不能自動提示問題解決
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安裝和Hello,World編寫
- 2. 重磅解讀:K8s Cluster Autoscaler模塊及對應華爲雲插件Deep Dive
- 3. 鴻蒙學習筆記2(永不斷更)
- 4. static關鍵字 和構造代碼塊
- 5. JVM筆記
- 6. 無法啓動 C/C++ 語言服務器。IntelliSense 功能將被禁用。錯誤: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回碼狀態含義
- 8. Java樹形結構遞歸(以時間換空間)和非遞歸(以空間換時間)
- 9. 數據預處理---缺失值
- 10. 都要2021年了,現代C++有什麼值得我們學習的?