[XCTF] crypto 工控安全取证

最新推荐文章于 2024-08-13 16:37:27 发布
最新推荐文章于 2024-08-13 16:37:27 发布
阅读量478 收藏
点赞数 1
分类专栏: # 电子取证 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czw2479/article/details/124793934
版权

下载附件,capture.log,直接打开是乱码。既然是流量分析题,那直接拖到wireshark打开。

看到一大堆tcp和少量ICMP

在进行一次连续的tcp之前一般会发一个icmp包过去,把过滤协议设置为icmp

看到一共5个 request replay 请求响应来回

但 192.168.0.1和192.168.0.254可以无视,因为这不太可能是主机发出来的。

第四次攻击,所以就是flag{155989}

零溢出
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记某工控CTF比赛一道ICMP隧道题
shutdown -s -t
08-15 2978
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。 数据包如图: 当时的考量: 响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。 考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。 两个通信IP没有什么有用信息。 考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...
攻防世界 xctf 工控安全取证 writeup
dchua123的专栏
03-28 3951
题目: 有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{} 1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng 2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。 开始我的策略是手工分...
ctf工控 流量题
qq_61768489的博客
10-17 2969
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
[纵横网络靶场社区]工控安全取证
末初的CSDN博客
09-15 1354
使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap 根据题目描述可以理解为两种意思: 一个IP的第四次扫描 第四个IP的第一次扫描 分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。 第四次扫描的数据包编号是11,提交fla.
攻防世界 Crypto高手进阶区 4分题 工控安全取证
闵行小鱼塘
12-21 1106
继续ctf的旅程,攻防世界Crypto高手进阶区的4分题,本篇是工控安全取证的writeup
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
09-20
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
CTF竞赛对安全人才培养的作用以及竞赛机制构建.pdf
08-07
诸葛建伟博士作为清华大学的副研究员、蓝莲花战队的领队以及XCTF联赛的共同发起人,在网络空间安全人才培养论坛中提出了CTF竞赛对安全人才培养的重要作用,并详细介绍了XCTF联赛机制构建的模式。 CTF竞赛能够对网络...
XCTF全国网络安全技术对抗赛决出前三甲 台湾大学夺冠.pdf
09-20
XCTF全国网络安全技术对抗赛决出前三甲 台湾大学夺冠.pdf
攻防世界 工控安全取证
m0_48452251的博客
10-27 270
过程步骤啥的已经有大佬分析了,我就发表一下个人见解,为什么结果是 155989 这其中牵扯到ip地址的问题,感兴趣的小伙伴可以去百度一下,IP地址,我简单说一下,在ip地址中,192开头为c类地址,在不考虑超网的情况下,一个网段的开头(也就是1)和结尾(也就是254)一般是分给网关或其他特殊网络设备的,所以将其去掉,两个199,按时间,先来的是155989,因此答案是这个。 个人见解,请大佬指点 ...
CTF工控安全.pdf
02-26
CTF工控安全.pdf
工控安全测试工具包
12-21
工具包中包括一套工业控制系统模拟工具,包括linux及windows下的7套测试工具及使用说明书
xctf攻防世界 CRYPTO高手进阶区 工控安全取证
l8947943的博客
02-24 811
0x01. 进入环境,下载附件 题目给的是一个日志文件,放入kali中查看文件类型: file capture.log 可以看到,该文件是一个pcapng流量包文件,如图: 0x02. 问题分析 将文件的后缀修改为pcapng,用wireshark打开,发现是一堆tcp链接和少量的ICMP链接。题目提示是对端口进行多次扫描,扫描端口一般是利用ICMP回显请求,那么我们对icmp进行排序,如图: 我们可以看到,题目让找到第四次的扫描编号,如图,对流量进行分析 ICMP请求第一组编号有发出也有回显正常的
工控安全取证
sinat_31884905的博客
03-20 393
下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng 然后扔进wireshark 得到一大堆tcp 注意到少量ICMP 发起扫描多半先一个ICMP 然后一堆TCP 所以看看ICMP 他要求第四次 那应该是在155987到155990 最终发现IP为192.168.0.199的ICMP的Ping请求对应的数据包编号155989为Flag ...
XCTF-攻防世界-密码学crypto-高手进阶区-writeup
Ryannn_的博客
10-25 8128
0x00 你猜猜 我们刚刚拦截了,敌军的文件传输获取一份机密文件,请君速速破解。 密文: 504B03040A0001080000626D0A49F4B5091F1E0000001200000008000000666C61672E7478746C9F170D35D0A45826A03E161FB96870EDDFC7C89A11862F9199B4CD78E7504B01023F000A0...
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 462
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
企业如何组建安全稳定的跨国通信网络
最新发布
TIANGEKUAJING的博客
08-13 292
当企业在海外设有分公司时,如何建立一个安全且稳定的跨国通信网络是一个关键问题。为了确保跨国通信的安全和稳定性,可以考虑以下几种方案。
安全自动化和编排:如何使用自动化工具和编排技术来提高安全操作效率。(第二篇)
艰难的活着
08-13 1034
深入理解Kubernetes环境中的安全自动化与编排(第二篇)
安全基础学习-RC4加密算法
小夭的博客
08-13 791
密钥调度算法 (KSA):用密钥打乱一个初始数组。伪随机数生成算法 (PRGA):使用打乱后的数组生成伪随机字节流。加密/解密:将明文与伪随机字节流异或生成密文,反过来也是一样的。RC4因其简单性和高效性被广泛使用,但其安全性在现代已经不再被推荐,尤其是当密钥长度不足或者使用不当时,可能会导致加密被破解。
xctf supersqli
09-01
CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值