写在前面
在ctfhub刷工控题目,遇到两道稍微简单的题目,记录一下
一、modbus
拿到题目给了一个流量包,打开发现确实是modbus的流量包,但是本题解答方式用strings, 我很菜真的不懂为什么,要是有懂的大佬欢迎指正。
tcp.stream eq 1
这里我理解的是共2次完整的三次握手,第一次stream index 0,第二次stream index 1 ,而flag存在于第二次握手,
666c61677b
进行字符串的16进制转换就是flag,这个以后主要要用,之后就是用string命令将文件里面的内容打印出来
payload:strings 6.pcap | grep -E "^.{10}$"
grep -E 后跟正则表达式:
.为匹配任意内容
^为匹配开头
{10}匹配的数量
$为匹配结尾
得到结果![在这里插入图片描述](https://img-blog.csdnimg.cn/6fc49fa26aed430ea9cdef6a2537得到
666c61677b => flag{
3138676854 => 18ghT
317772337d => 1wr3}
flag{18ghT1wr3}
二、异常的流量分析
拿到手之后有是一个不知所云的流量包,万事先strings 一下
发现内容已经溢出一页,这样我们可以将内容输出到一个文档里
strings 9.pacg >1.txt
发现存在一张为base64编码的图片形式
将内容复制下来,放到如下编码网站 即可得到flag
https://www.vgot.net/test/image2base64.php?
https://tool.jisuapi.com/base642pic.html
注意解码的时候要把
data:image/jpg;base64,
去掉,只解码base64部分
三、收获
遇到工控题目,先strings试试,这是最简单的题目