纵横网络靶场-内存镜像分析-工控业务流量分析

已于 2023-10-17 22:26:22 修改
阅读量268 收藏
点赞数
文章标签: linux 运维 服务器
于 2023-10-17 21:48:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/133894129
版权

目录

1、内存镜像分析

 2、工控业务流量分析

1、内存镜像分析

题目描述:

一黑客通过互联网扫描,发现某企业的互联网入口,经过一系列操作将工控机进行了锁定,你能通过分析内存镜像,破解黑客留下的登录密码吗,并找到FLAG,flag形式为 flag{}

解压得memory文件,直接用volatility软件分析(以下工具为python2版本的命令,python3版本不一样)

python2 vol.py -f memory imageinfo

 可以看到配置文件.

python2 vol.py -f memory --profile=WinXPSP2x86 hashdump

对Administrator的最后一段数字进行md5解密,得123456789,再进行md5加密的32位小写密文位flag

flag{25f9e794323b453885f5181f1b624d0b}
 2、工控业务流量分析

题目描述:

某工场在厂区安全检测时,检测到一段异常流量数据包,分析数据包中的异常,找到FLAG,flag形式为 flag{}

工控流量分析,首先看modbus协议同时题目位业务流量。可以考虑正常到modbus 协议正常业务常用的功能码为 0-16

  1. 0x01 (Read Coils): 该功能码用于读取离散输出(线圈)的状态。通常,它用于读取数字输出的状态,例如,获取开关或继电器的状态。

  2. 0x03 (Read Holding Registers): 这个功能码用于读取模拟输出寄存器的值。模拟输出通常表示传感器测量的数据,例如温度、湿度等。

  3. 0x0F (Write Multiple Coils): 用于写入多个离散输出(线圈)的状态。这个功能码通常用于设置多个数字输出的状态,例如,同时设置多个继电器

本题进行了大量 Read Holding Registers。

只有少量的 Read Coils和Write Multiple Coils

分别在modbus.func_code == 1 modbus.func_code ==15 

 func_code 1 存在大量data值 且和 func_code 15 data值一样。所以提取这段值

c29e46a64eeaf64e3626c2ae0ec2a22ac24c0c8c1c

data = 'c29e46a64eeaf64e3626c2ae0ec2a22ac24c0c8c1c'

data_new = bytes.fromhex(data)
flag = ''

for i in data_new:
    flag += chr(int(format(i, '08b')[::-1],2))

print(flag)

本题唯一坑的地方是要逆序。

flag{CyberWorldCupCETC2018}

He@11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
纵横网络靶场-简单流量分析-ICMP协议分析
m0_68113265的博客
10-16 354
不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}data内容为base编码,尝试解码之后为乱码。先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式。
JVM 性能调优,分享些好用的内存分析神器
m0_69804655的博客
03-13 354
对于高并发访问量的电商、物联网、金融、社交等系统来说,JVM 内存优化是非常有必要的,可以提高系统的吞吐量和性能。通常调优的首选方式是减少 FGC 次数或者 FGC 时间,以避免系统过多地暂停。FGC 达到理想值后,比如一天或者两天触发一次 FGC。FCT 时间优化为 100~300 毫秒后,再减少 YoungGC 次数或者 YoungGC 时间,YoungGC 仍然会消耗 CPU 资源,优化 YoungGC 调用次数和消耗的 CPU 资源,可以提高系统的吞吐量。
如何在工控网络中确保内部流量分析与外部威胁检测的多层次策略
图幻未来的博客
05-01 21
随着工业互联网的快速发展,工控网络的安全性已经成为各行业关注的焦点。由于工控网络的开放性以及设备之间的紧密连接,使得其面临着来自内部和外部的多种安全威胁。本文将针对工控网络中内部流量分析与外部威胁检测的多层次策略进行分析,并提出相应的解决方案。
JVM调优几款好用的内存分析工具
20年码农
02-09 3085
FCT时间优化为100~300毫秒后,再减少YoungGC次数或者YoungGC时间,YoungGC仍然会消耗CPU资源,优化YoungGC调用次数和消耗的CPU资源,可以提高系统的吞吐量。优化GC前,必须获取GC的实际使用情况,最好的方式是通过CG Log收集垃圾回收日志,通过一些可视化工具查看垃圾回收分析数据,比如GCEasy。,以及显示单位时间内创建的最多对象的方法。-gc,类似gcutil,gcutil以百分比形式显示内存的使用情况,gc显示的是内存占用的字节数,以KB的形式输出堆内存的使用情况。
ctf工控 流量题
qq_61768489的博客
10-17 2881
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
纵横网络靶场资源题-过程详解
09-21
网络靶场实战技巧与Wireshark流量分析】 在网络安全领域,网络靶场是一种重要的实践平台,它模拟真实的网络环境,让参与者通过解决各种安全挑战来提升技能。本篇文章主要探讨的是一个涉及到Wireshark流量分析的...
网络靶场行业概况分析共29页.pdf.zip
11-02
4. **关键技术**:网络靶场的核心技术包括虚拟化技术(如VMware、KVM等),容器技术(Docker)、沙箱技术、动态流量分析、日志分析等,它们共同构建出高度逼真的网络环境。 5. **挑战与发展趋势**:网络靶场面临的...
网络靶场行业整体竞争格局分析共27页.pdf.zip
11-02
很抱歉,根据您提供的信息,"网络靶场行业整体竞争格局分析共27页.pdf.zip"这个文件似乎是一个关于网络靶场行业的分析报告,而压缩包内的子文件名称"赚钱项目"并不直接与网络靶场行业的具体内容相关。由于我无法直接...
vuInhub靶场实战系列-DC-6实战
最新发布
05-29
vuInhub靶场实战系列-DC-6实战
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析
内存容错技术ECC&Chipkill&保护&镜像
charleslei的专栏
03-09 5431
内存 服务器内存与PC内存的区别: 性能更高 兼容性更好 可靠性更高 什么是Register? 拥有Registers功能的内存模组,可以通过重新驱动控制信号来改善内存的运作,提高电平信号的准确性,从而有助于保持系统长时间稳定运作。不过,由于Registers的信号重驱动需花费一个时钟周期,延迟时间有所增加,但是传输的速率相对可以提高,对走线的要求也降低了。 与逻辑设...
工控流量分析题+wireshark学习
qq_53755216的博客
06-28 1万+
写在前面 暑假报名了工控比赛 所以要找些工控的题目来刷刷 正好比赛方提供的靶场有很多类似的题目 开始痛苦的学习过程。。。 Wireshark Capture filter <Protocol name> <Direction><Host(s)><Value><Logical operations><Expression> 如何看带 <Logical operations> 1.<Protocol name>&l
CTF工控流量分析-题集1-modbus协议附加信息
m0_51198141的博客
11-28 453
题目只有提示,被加密的生产流量对于工控来说这道题实在是非常简单,工控流量没有做过很多,后面会再多做做相关这里的。有缺陷欢迎留言指出。
虹科分享 | 关于内存取证你应该知道的那些事
虹科网络安全的博客
08-01 1180
随着数字化转型的加速,云服务,IoT,越来越紧密的第三方供应商等,企业如果只关注自己组织内部的安全远远不够,越来越多的数据泄露/安全事件是由第三方供应链引起的。内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。通过内存取证,可以获取运行中的进程、正在打开的文件、网络连接、注册表项、加密密钥和密码等敏感信息,这些信息对于数字取证、安全威胁分析和恶意活动检测都非常重要。这似乎是DLL进入系统的时间。
金砖技能大赛-应急响应-内存镜像分析-进程分析
WEB渗透测试 从入门到萌新
09-30 4856
作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)
Jay
12-20 2112
4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;DLL dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。
SQL注入学习之路:sqli-labs靶场实战解析
"sqli-labs靶场练习笔记涵盖了从2关到24关的SQL注入学习内容,适合初学者参考,涉及单引号、双引号注入,布尔盲注,数据库名、表名、列名的探测,以及利用注入进行文件写入和信息获取等技能。" 在SQL注入的学习过程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值