CTF:Modbus协议报文_恶意节点查找及错误报文分析

最新推荐文章于 2024-05-03 16:22:07 发布
最新推荐文章于 2024-05-03 16:22:07 发布
阅读量1.2k 收藏 4
点赞数 4
分类专栏: 网络安全 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/npu_nazi/article/details/129693573
版权

一. 问题描述

所提供的压缩包是某工控业务网络中的实际捕获的通信数据包。请你发现并找出其中所有的Modbus/TCP包。仅仅针对Modbus数据包分析如下几点:

  1. 发现Modbus通信的Master节点地址与相对应的slave节点地址。有几组master-slave? 请绘制业务包中的Modbus基本通信拓扑结构。
  2. 请解析Modbus报文。以几组典型的Modbus通信为例,解析Modbus访问-应答机制的通信。
  3. 请绘制此业务Modbus中的通信数据的时间序列图。要求覆盖数据包中出现的所有的master与slave及其节点.

二. 分析过程

  1. 发现Modbus通信的Master节点地址与相对应的slave节点地址。有几组master-slave? 请绘制业务包中的Modbus基本通信拓扑结构。

1.使用wireshark打开.pcap文件, 设置过滤器规则为modbus,然后右上角文件->导出为csv文件,便于我们读取与分析.

2.编写python程序解析csv文件,详情见AnalysisCSV.py

主要思想为: 若为query请求则判为master节点,若为Response包则判为slave节点,并加入已有master节点所管理的slave节点列表中.运行结果为:

 

假设所有数据包无误, 故有四组master-slave,其拓扑结构为:

注:考虑到192.168.1.13地址应归属于Slave, (根据ip分配顺序的推断)但是其却发送query报文,故疑似该节点受到攻击, 此报文为攻击报文,请求是写多个线圈值.

故正确的拓扑结构应为:

3. 请绘制此业务Modbus中的通信数据的时间序列图。要求覆盖数据包中出现的所有的master与slave及其节点.

1.使用wireshark将数据包 导出为json格式, (导出方式见第一问).此问使用json格式进行分析.具体详见modbus.json

2.编写分析代码AnalysisJson.py

大致思想为:逐项读取json文件,如果发现是slave节点,则将这个包所携带的寄存器值信息压入所对应的Master类中的reg列表中.

最后绘制图表.(运行后,鼠标放在点上面,右上角就会出现time和value值).输入为寄存器值和时间(此处的时间格式是16:49:55-569031000,调试代码可以发现. 点数太多,所以绘制的图表横坐标都粘连在了一起, 因为点太多,散点图还是无法确切判断寄存器数值变化情况,如果要详细查看,源代码中注释的部分(64~67行)可以打印出寄存器值和时间的列表值.)

Slave:192.168.1.10 (太多了,点右边小箭头可以收起来)

Register0:

Register16:

Register14:

Register16:

 Slave:192.168.1.12:

Register0:

Register10:

Register12:

Register16:

 三. 程序源码

1. AnalysisCSV.py

import csv


class Master:
    def __init__(self, s):
        self.src = s
        self.slave = []

    def pushslave(self, s):
        self.slave.append(s)


def main():
    filename = "./modbus.csv"
    master = []
    srclist = []
    with open(filename) as f:
        render = csv.reader(f)
        header_row = next(render)
        print(header_row)
        for row in render:
            src = row[2]
            dst = row[3]
            info = row[6]

            if info.find("Query:") != -1:
                if src not in srclist:
                    srclist.append(src)
                    m = Master(src)
                    master.append(m)

            if info.find("Response") != -1:
                for i in master:
                    if dst == i.src:
                        if src not in i.slave:
                            i.pushslave(src)
            # ii += 1
            # if (ii == 10000):
            #     break
    print("\n\n\n------------------搜索结束,打印出所有的master与对应的slave信息:-----------------------")
    for mst in master:
        print("master:")
        print(mst.src)
        print("slave:")
        for slv in mst.slave:
            print(slv)
        print("----------------------------")


if __name__ == '__main__':
    main()

2. AnalysisJson.py

import json
import jsonpath
import matplotlib.pyplot as plt


class Slave:
    def __init__(self, src):
        self.src = src
        self.reg = [[], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], []]

        self.time = [[], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], [], []]


def draw(h, ll):
    plt.figure(figsize=(16, 8))
    plt.xlabel("Time :Oct 15, 2019  from 16:46:10-000000000 to 16:49:55-569031000")
    plt.ylabel("The value of register")
    plt.title("the slave.ip.src is in console, the register number also is in console")
    plt.scatter(h, ll)
    plt.show()


def main():
    jsondata = json.load(open('modbus.json', encoding='utf-8'))
    slavecheck = ['192-168-1-10', '192-168-1-11', '192-168-1-12']
    srclist = []
    slavelist = []

    # print(jsondata)
    for pack in jsondata:
        src = jsonpath.jsonpath(pack, '$._source.layers.ip.ip-src')
        src = src[0]
        if src in slavecheck:
            if src not in srclist:
                srclist.append(src)
                slave = Slave(src)
                slavelist.append(slave)

            for sl in slavelist:
                if sl.src == src:
                    newtime = pack["_source"]["layers"]["frame"]["frame-time"]
                    newtime = newtime[13:30]
                    # time = jsonpath.jsonpath(pack, '@._source.layers.frame.frame-time')
                    modbus = pack['_source']['layers']['modbus']
                    for modbusitem in modbus:
                        if 'Register' in modbusitem:
                            regnumber = int(modbusitem[9:11])
                            regvalue = int(modbusitem[21:])
                            sl.reg[regnumber].append(regvalue)
                            sl.time[regnumber].append(newtime)

    print("\n\n-------------------------------search result------------------------------------------------")
    # print(slavelist)

    for slaveitem in slavelist:
        print("slave src:(The dots are replaced by horizontal bars)")
        print(slaveitem.src)
        i = 0
        for regi in slaveitem.reg:
            if len(regi) > 0:
                print("the register number:" + str(i))
                draw(slaveitem.time[i], slaveitem.reg[i])
                # print("the register value list:")
                # print(slaveitem.reg[i])
                # print("the time list:")
                # print(slaveitem.time[i])
            i += 1
        print("--------------one slave has been drawed--------------")


if __name__ == '__main__':
    main()

西瓜刀盹了
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
leetcode和ctf-skr_learn_list:skr_learn_list
06-30
leetcode和ctf 这是什么? 这是一份skr_university的学习清单,因为太菜被抓,努力学习的一份记录 skr_learn_list 前面因为年代久远,就以周为单位,后面再以日为单位 第一周(2020.5.18-2020.5.23):Prime c++和...
CTF工具-破空_flag查找工具3.3
02-17
用于在CTF签到题中,在文件夹及文件中,快速搜索flag及经过编码的flag字符串
工控CTF协议分析1——Modbus
一个普普通通的博客
12-20 6293
工控CTF协议分析1——Modbus
CTF工控流量分析-题集1-modbus协议附加信息
m0_51198141的博客
11-28 440
题目只有提示,被加密的生产流量对于工控来说这道题实在是非常简单,工控流量没有做过很多,后面会再多做做相关这里的。有缺陷欢迎留言指出。
2024年网安最新CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
最新发布
2401_84297944的博客
05-03 1188
工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。
之江杯-modbus、异常的流量分析
Fisher
09-25 1701
1
某赛两杂项-CTF-brainfuck编码、modusbus协议分析
CTF小杂鱼的专栏
10-05 8065
一、某赛的brainfuck题目。 Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。 题干: ,>>++ +++++ +++[< +++++ +++++ >-]<+ +[<-> -]<[+ -],>> +++++ +++++ [<+++ +++++ ++>-] <++++
CTF】- 练习日志8.25-27
pyhsaihz的博客
08-28 1490
ctf练习记录
第十六届CISCN复现----MISC
lulu001128的博客
06-25 357
解题过程
Cardinal:CTF:triangular_flag: AWD (Attack with Defense) 线下赛平台 AWD platform - 欢迎 Star~ :sparkles:
05-06
—— CTF AWD 线下赛平台介绍Cardinal 是由 Vidar-Team 开发的 AWD 比赛平台,使用 Go 编写。本程序可以作为 CTF 线下比赛平台,亦可用于团队内部 AWD 模拟练习。更多图片(该 AWD 实时 3D 攻击大屏为项目 ,已适配...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
Modbus协议模拟器与协议分析以及示例pcap包
09-25
压缩包内包含modbus server和client模拟器 以及个人总结的modbus协议解析文档 和一些示例的pcap包
modbus-one.pcap
11-19
工控协议modbus数据包,可以针对数据包进行分析协议结构
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
Modbus编程实践
m0_54384176的博客
12-29 330
modbus实践
CTFHub 简单Modbus协议分析 WP
qq_61993117的博客
09-02 1714
简单Modbus协议分析wp
CTF工控工业互联网(ISC)复现总结WP(超详细)
Aluxian_的博客
12-07 2983
工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做题,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。格式为 flag{}某10段工控网络中,工业协议中存在异常数据。2019-工业信息安全技能大赛-深圳站-工业协议分析1。
CTFHUB 简单Modbus协议分析
m0_49025459的博客
01-10 1203
题目 先在kali里面strings一下 然后我们获得一串 然后在线hex转ASCII 就得到了flag flag{DGswTfgy1GD236fs2sfF2dskLng}
ModbusTCP协议报文解析
热门推荐
海盗Sharp的博客
11-23 2万+
报文格式 交互(通信)标识:2个字节 为此次通信事务处理标识符,一般每次通信之后将被要求加1以区别不同的通信数据报文协议标识:2个字节 表示该条指令遵循ModbusTCP协议,一般都为00 00 报文长度:2个字节 表示后面数据的长度,有几个字节,高字节在前 (前六位Modbus/TCP协议不同功能码通用) 设备标识 :1个字节 设备地址,这个可以用于局域网里面的具体的地址,如果目标机器有固定ip,这个就不起作用,直接上写成 00 功能码:1个字节 功能码在modbus协议用于表示信息帧的功能....
我的ctf刷题wp笔记
03-25
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值