CTF
文章平均质量分 67
B1u3Buf4
安全分析;威胁情报;入侵检测。前乙方安全实验室,头部互联网甲方反入侵。
展开
-
ICS工业控制安全类方向赛题简单总结
最近两年时间参加了一些工控安全的比赛,接触到了一些工业控制系统相关的问题。文章总结了一些常见的PLC编程软件、常见的题目类型。ICS工业控制系统的赛题出题比较灵活,可以理解为Web、Reverse、Misc等方向综合体。从本身入门难易程度来看,入门的题目以WEB和流量分析为主,深入一些会涉及到梯形图、固件分析、程序修改等等方面的考察。原创 2022-01-01 11:35:24 · 1797 阅读 · 1 评论 -
2021年红帽杯线上解题记录
签到如题目名称提示,需要进行ebcdic编码,python原生不支持,安装额外库pip install ebcdic。python3解码脚本如下:import ebcdicwith open('EBCDIC.txt', 'rb') as f: tmp = f.read() print(tmp.decode('cp1141'))输出内容flagäwe1c0me_t0_redhat2021ü,调整一下flag{we1c0me_t0_redhat2021}。find-itflag原创 2021-11-28 12:29:12 · 3163 阅读 · 0 评论 -
2021工业信息安全技能大赛线上第二场--PLC故障分析
照例先聚焦工控协议和数量较少的功能码,主要是modbus协议,功能码较少的是写单线圈指令(write single coil),wireshark中过滤条件可以用modbus.func_code==5。以14060号包为例,顺序在ETH协议的trailer字段发现有类似MHg3ZjB4MzUw的字符,尝试base64解码,可解出明文。但是每个末尾都会多出一个0,考虑base64可以将3个字符变成4个字符,猜测如果是0x??后面应该缺少x??的部分。fcs字符正好4个,eDNm,将fcs的字符解码正好印证猜想原创 2021-07-01 17:34:13 · 905 阅读 · 0 评论 -
二维码(QRCODE)纠错容错位读取修复操作
“”"二维码的纠错等级,容错等级。纠错等级是指容错率的大小,按照容错率从小到大可分(<7%),M(<15%),Q(<25%),H(<30%).容错率也叫纠错率。二维码在被遮挡部分面积后仍能被正常扫描,纠错率指的就是二维码能被正常扫描时允许被遮挡的最大面积占总面积的比率。二维码修复的工具,“”"dic = {“L0”: “111011111000100”,“L1”: “111001011110011”,“L2”: “111110110101010”,“L3”: “11原创 2021-01-31 14:57:00 · 6250 阅读 · 2 评论 -
一些CTF杂项MISC解题脚本
总结发布一些简单CTF中MISC常用的解题脚本,基于python3。目前有二维码解码、mp3隐写、像素提取。二维码解码通过pip安装zxing库。def qr_decode(): """ 二维码解码 :return: """ import zxing reader = zxing.BarCodeReader() barcode = reader.decode('/home/QR_code.png') print(barcode.par原创 2020-12-13 12:45:44 · 1343 阅读 · 0 评论 -
使用ghidra进行逆向工程静态分析
Ghidra是一个软件逆向工程(SRE)框架,包括一套功能齐全的高端软件分析工具,使用户能够在各种平台上分析编译后的代码,包括Windows、Mac OS和Linux。功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。Ghidra支持各种处理器指令集和可执行格式,可以在用户交互模式和自动模式下运行。用户还可以使用公开的API开发自己的Ghidra插件和脚本。下载安装官方网站是https://ghidra-sre.org/,似乎直接访问不到。项目部分内容开源在https://github.c原创 2020-10-03 00:45:52 · 1921 阅读 · 0 评论 -
pwnable.kr解题——flag、passcode
pwnable.kr —— flag送分题下载文件,查看一下,是ELF文件并且有UPX壳。这个壳只是个压缩壳,不是难事,脱壳。之后用IDA打开看一下,加载完之后主函数就是整个逻辑,malloc()一个空间,然后使用strcpy复制。数据的来源也很清晰,来自CS段的flag变量。直接进入到cs:flag的位置复制出来目标字符串提交即可。pwnable.kr —— passcode题目...原创 2018-08-17 14:39:15 · 460 阅读 · 0 评论 -
记某工控CTF比赛一道ICMP隧道题
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。数据包如图:当时的考量:响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。两个通信IP没有什么有用信息。考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...原创 2019-08-15 23:46:45 · 2963 阅读 · 0 评论