攻防世界 xctf 工控安全取证 writeup

最新推荐文章于 2023-10-17 13:05:08 发布
最新推荐文章于 2023-10-17 13:05:08 发布
阅读量3.9k 收藏 4
点赞数
分类专栏: CTF # crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dchua123/article/details/105165610
版权
CTF 同时被 2 个专栏收录
20 篇文章 4 订阅
订阅专栏
crypto
15 篇文章 0 订阅
订阅专栏

题目:

有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}

1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng

2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。

开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:

想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。

于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:

那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}

发现是对的,纯粹运气啊,我也不知道为啥。

隐藏起来
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
记某工控CTF比赛一道ICMP隧道题
shutdown -s -t
08-15 2963
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。 数据包如图: 当时的考量: 响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。 考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。 两个通信IP没有什么有用信息。 考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界 工控安全取证
m0_48452251的博客
10-27 266
过程步骤啥的已经有大佬分析了,我就发表一下个人见解,为什么结果是 155989 这其中牵扯到ip地址的问题,感兴趣的小伙伴可以去百度一下,IP地址,我简单说一下,在ip地址中,192开头为c类地址,在不考虑超网的情况下,一个网段的开头(也就是1)和结尾(也就是254)一般是分给网关或其他特殊网络设备的,所以将其去掉,两个199,按时间,先来的是155989,因此答案是这个。 个人见解,请大佬指点 ...
[XCTF] crypto 工控安全取证
0of_blog
05-16 474
下载附件,capture.log,直接打开是乱码。既然是流量分析题,那直接拖到wireshark打开。 看到一大堆tcp和少量ICMP 在进行一次连续的tcp之前一般会发一个icmp包过去,把过滤协议设置为icmp 看到一共5个 request replay 请求响应来回 但 192.168.0.1和192.168.0.254可以无视,因为这不太可能是主机发出来的。 第四次攻击,所以就是flag{155989} ...
xctf攻防世界 CRYPTO高手进阶区 工控安全取证
l8947943的博客
02-24 792
0x01. 进入环境,下载附件 题目给的是一个日志文件,放入kali中查看文件类型: file capture.log 可以看到,该文件是一个pcapng流量包文件,如图: 0x02. 问题分析 将文件的后缀修改为pcapng,用wireshark打开,发现是一堆tcp链接和少量的ICMP链接。题目提示是对端口进行多次扫描,扫描端口一般是利用ICMP回显请求,那么我们对icmp进行排序,如图: 我们可以看到,题目让找到第四次的扫描编号,如图,对流量进行分析 ICMP请求第一组编号有发出也有回显正常的
ctf工控 流量题
qq_61768489的博客
10-17 2915
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
writeup:xctf撰写
03-28
写上去xctf撰写
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
09-20
发掘网络安全新生力量 XCTF全国网络安全技术对抗联赛在京开启.pdf
2023年全国职业院校技能大赛-信息安全管理与评估-赛题 8
君逍遥o
05-07 3855
2023年全国职业院校技能大赛-信息安全管理与评估-赛题 8
从CTF到工控安全.pdf
02-26
从CTF到工控安全.pdf
计算机密码学程序含大整数、Ntl、Crypto和Ecc、Rsa编程应用
10-28
这是我精心收集和三年来勤劳编程的结果,特别是利用Ntl快速数论算法库实现椭圆曲线的一系列运算,你不得不看。更多内容请登录我的网站[www.zrmcf.cn]金佛软件看看
工业通讯领域的总线、协议、规范、接口、数据采集与控制系统
悦分享
07-28 1万+
工控,指的是工业控制自动化,主要利用电气、机械、软件组合的方式实现, 即是工业控制系统,或者是工厂自动化控制。工控安全指的是工业控制系统的数据、网络和系统安全。随着工业信息化的迅猛发展,德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。但在工业企业获得巨大发展动能的环境背景下,也滋生了大量安全隐患,工控安全正面临严峻的挑战 。
纵横网络靶场-工控安全取证
最新发布
m0_68113265的博客
10-17 220
有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}打开文件发下是乱码,file查看文件得知是pcap文件。两者都尝试,发现是第二种,即flag为155989。改后缀wireshark打开,过滤icmp。题目意思找第四个扫描的数据包编号。2、第四个ip扫描的编号。1、同个ip第四次扫描。
攻防世界 Crypto高手进阶区 4分题 工控安全取证
闵行小鱼塘
12-21 1091
继续ctf的旅程,攻防世界Crypto高手进阶区的4分题,本篇是工控安全取证writeup
纵横网络靶场 部分wp
qq_61768489的博客
08-14 1521
生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志,自动化工程师在进行上载分析中也没有发现相关的问题所在,请您帮助进行分析相关设备的存在的问题,flag格式为:flag{hex数据}flag形式为 flag{}。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常 点,并拿到FLAG,flag形式为 flag{}。...
纵横网络靶场社区 工控
weixin_51387754的博客
10-31 1210
社区旨为工控安全技术爱好者打造线上实训与竞赛社区,社区将远程接入虚实结合靶场环境,为工控安全技术研究人员开放基础资源,提供学习交流资源共享平台。
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
热门推荐
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
攻防世界traffic
07-28
- *1* *2* [xctf攻防世界 Web高手进阶区 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值