CTF:S7comm协议受攻击报文分析

最新推荐文章于 2024-05-03 16:22:07 发布
最新推荐文章于 2024-05-03 16:22:07 发布
阅读量703 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/npu_nazi/article/details/129693816
版权
文章描述了一位安全研究人员分析城市供水企业流量数据的过程,重点是寻找s7comm协议通信中的异常写入数据。通过排除错误报告和缓冲区溢出的可能性,研究者注意到data字段可能由多个寄存器合并传输,通过Python脚本解析CSV数据,发现了一个非典型的ins0值,这可能是异常流量的线索。
摘要由CSDN通过智能技术生成

一. 问题描述

某组织通过特殊手段获取到了城市供水企业的某些流量数据。作为安全研究人员需要分析出其中特殊流量数据,已知流量包为s7comm协议通信数据,流量中存在一条异常写入的数据。请尝试找出异常流量的ascii数据流。

二. 分析过程

1.首先把数据包中的data数据右击->应用为列, 这样就可以在列中查看.

2.将分析结果导出为csv,在此之前可以右击表头->不选中不必要的列,即只保留data和No. 两列,缩小数据量便于分析. 导出结果为data.csv

3.分析思路:

       1.首先怀疑在一切正常的情况下报告错误,查询资料后, Return code和 Function有一些项是报告错误的,但是分析数据报文后,return code只有reserved和success两种,function 只有 write var, 故排除这种可能.

       2.既然是数据错误,结合上课所讲,继续怀疑可能是缓冲区溢出攻击,怀疑数据长度和data实际长度不符,然后发现报文中所有transport size 都是4,length 都是10,所有的data长度都是8bit * 10 位.故也排除这种可能.

       3.结合老师的提示,data是有规律的,再结合自己查找的资料,怀疑data 数据是很多个寄存器合并传输的, 因为现在没有一个寄存器位宽这么长,结合实际也不需要还这么长. 因此将data 数据以8bit 拆分开分析.尝试将每个字段都存储为列表观察规律,最后,除了第一个全是0xffff,其他字段目测都没有任何规律. 于是便尝试查找第一项不是0xffff的,编程实现,详情见代码NumberConver.py,结果恰巧发现一个.

 三.程序源码

import csv


def main():
    datalist = []
    inslist = [[], [], [], [], []]
    filename = "./data.csv"
    with open(filename) as f:
        render = csv.reader(f)
        headrow = next(render)
        print(headrow)
        i = 0
        for row in render:
            no = row[0]
            data = row[1]
            ins0 = int(data[0:4], 16)
            inslist[0].append(int(data[0:4], 16))
            inslist[1].append(int(data[4:8], 16))
            inslist[2].append(int(data[8:12], 16))
            inslist[3].append(int(data[12:16], 16))
            inslist[4].append(int(data[16:20], 16))

            data10 = int(data, 16)
            if ins0 != 65535:
                print(ins0)
                print(no)
            # print(data10)
            datalist.append(data10)

            # i += 1
            # if i == 1000:
            #     break;
        # for i in inslist:
        #     print(i)


if __name__ == '__main__':
    main()

西瓜刀盹了
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
工控CTF协议分析6——s7comm
一个普普通通的博客
12-20 4936
工控CTF协议分析6——s7comm
2021CTF工业信息安全技能大赛-异常的s7comm
qq_43264813的博客
07-05 3215
2021CTF工业信息安全技能大赛-异常的s7comm 工程师小夏在针对西门子300PLC设备不定期的停止运行,发现设备存在异常外联控制,再对审计设备进行分析中发现数据包中存在异常的eth.trailer、eth.fcs,请您帮助小夏找到外联地址并发送异常的HEX,对服务器返回的HEX进行解密。flag格式为:flag{}。 使用工具:Wireshark、NetCat、TEA加密/解密、CaptfEncoder、科来网络分析系统 11 技术交流版、NMAP 解题步骤: 1.1、对数据包进行重放发现400、4
CTFHub S7协议恶意攻击分析 WP
qq_61993117的博客
09-02 1987
S7协议恶意攻击分析 WP
(二)S7Comm协议分析
weixin_43047908的博客
07-18 2436
目录前言S7Comm是什么? 前言 上篇我们讲述了Modbus协议的基本原理和结构,这一篇我们把目光转移到转向私有协议,来看看另一家巨头西门子的S7Comm。 S7Comm是什么? 西门子是德国的一家超大型企业,在能源、工业、医疗、基建等等方面都有它的身影,同时它也位列全球500强第66名。作为一个以电报起家的大型企业,它对于通信更是重视,S7comm就是西门子为了它生产的PLC之间、SCADA与PLC之间的通信而设计的专属协议。 和Modbus的应用层协议不同,S7comm的协议栈修改程度更高,在应用层组
[纵横网络靶场社区]S7COMM协议分析
末初的CSDN博客
09-21 1067
签到题,过滤出s7comm协议,降序排包的长度,第一个包最后有一段hex 解码得到:is_not_real flag{is_not_real}
cypherpunks-ctf:Cypherpunks CTF 智能合约漏洞攻击
05-14
Cypherpunks CTF Cypherpunks CTF是一款基于Web3 / 的战争游戏,灵感来自 ,该游戏将在以太坊虚拟机中进行播放。 每个级别都是一个需要被“破解”的智能合约。 欢迎等级PR! 在本地运行 安装所有软件包 ...
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
【标题】:“pin-in-CTF:利用Intel Pin工具解决CTF挑战” 【知识点详解】 Intel Pin是一款强大的动态二进制分析工具,主要用于程序行为分析、性能监测、代码插桩等场景。在“pin-in-CTF”项目中,开发者或安全...
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
ctf:炫酷的ctf WIP立即尝试!
05-11
ctf 一个很酷的ctf
juice-shop-ctf:OWASP Juice Shop的标志捕获(CTF)环境设置工具
04-30
OWASP果汁商店CTF扩展 Node包可以帮助您准备针对不同流行CTF框架的挑战的事件。 此交互式实用程序使您可以在几分钟内填充CTF游戏服务器。 支持的CTF框架 juice-shop-ctf-cli支持以下开源CTF框架: 特遣部队 ...
2023年江西省“振兴”工业互联网安全技术技能大赛暨全国大赛江西选拔赛 Write UP
Specif1c的博客
10-29 1299
2023年江西省“振兴”工业互联网安全技术技能大赛暨全国大赛江西选拔赛 Write UP
ctf工控 流量题
qq_61768489的博客
10-17 2999
某工程师在运维中发现了设备的某些异常,怀疑可能遭到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析攻击数据,并找到其中的flag信息。
CTF工控工业互联网(ISC)复现总结WP(超详细)
Aluxian_的博客
12-07 3608
工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做题,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。格式为 flag{}某10段工控网络中,工业协议中存在异常数据。2019-工业信息安全技能大赛-深圳站-工业协议分析1。
工控CTF协议分析9——其他协议
一个普普通通的博客
12-20 1552
工控CTF协议分析9——其他协议
CTFHUB ICS(3)
qq_61988806的博客
09-07 347
因为是plc的关机,我们直接过滤s7comm协议的内容然后是提供info的排序我们可以根据这个进行分析在plc中ack_data是对于job的响应这里ack_data返回了plc的stop即题目中描述的plc关机,而关机的发出属于job的信息所以我们去查找job里面的内容和ack_data里面的三次关机对应,共发出了三次stop根据题目flag{3201414D}
2024年网安最新CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
最新发布
2401_84297944的博客
05-03 1566
工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。
参加历年网络安全竞赛wp(2022年起持续更新)
苦行僧的妖孽日常
10-24 3621
2022中国工业互联网安全大赛(核能行业赛道)、2023陇剑(预选赛)、2023强核、2023工业信息安全技能大赛等网络安全竞赛(CTF)的WriteUp。
S7comm协议中关于数据字段的分析(1)
木雨易的博客
04-07 4359
实验环境:西门子S7-300、CUP 315-2DP、step7 5.6、wireshark目的:利用抓取的数据包还原PLC代码利用wireshark抓取PC与PLC传输的数据,其中包含了PLC代码为function[Download block]的数据包,如图1。                                                                   ...
S7comm协议学习笔记
山兔的博客
09-12 2202
一、S7comm,西门子为了它生产的PLC、SCADA与PLC之间的通信而设计的专属私有协议。 在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输。 数据包逻辑上是由高层进行封装再一步步的转递给较低层,但我们接收到包后是低层一层层拆卸交给上层,基于逆向思维,我们之后的分析应该是由低向高展开的。 TPKT协议是一个传输服务协议,它为上层的COPT和下层TCP进行了过渡。 CR和CC其实分别是connect request和connet confirm。 连接建立成功后,发送
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值