本文涉及多个工业协议解析案例,包括S7协议、Modbus协议等。通过流量分析、异常流量过滤、图片隐藏信息解密、二进制数据异或操作等技术手段,揭示了隐藏在数据包中的关键信息,如密码、邮箱地址等。此外,还介绍了如何从固件中提取硬编码的用户名和密码。这些技术对于工业控制系统安全研究和应急恢复至关重要。
s7协议
0300002402f080320100000003000e00050501120a100200010000830000000004000801。请解读以上协议内容,并准确的拿到此报文返回值,flag即为返回值。提交格式:flag{xxx}。
原题,题目内容都没变
flag{0300001602f0803203000000030002000100000501ff}
工控流量分析
使用科来对包进行重放分析发现3397、3398存在问题
查看3397、3398同时发现3399中存在一条字符串,疑似加密。
尝试base64解码得到tq2ysds66
flag{tq2ysds66}
异常流量分析
过滤modbus
找到长度为92的modbus数据包中有一串特殊数据
数据进行rot13解密
flag{flagisthisModbussssss}
图片的秘密
打开附件,有一个图片和一个elf 可执行文件,IDA载入 WhereIsYourKey:
最后是明文比较密码,按照程序的逻辑来一遍:
password : my_m0r3_secur3_pwd
拿到jpg图片,尝试各种破解方法,最终找到oursecret工具解密,利用得到的密码解密得到加密字符串
XXdecode解密即可得密码
现场数据采集
h264数据流,根据题目提示是视频数据流,上网找资料
用Elecard StreamEye Tools工具打开该文件,查看 I帧和p帧的信息
播放得到模糊的flag,稍加猜测。
FLAG : flag{GOODFORYOU}
应急恢复
1G大小的一个磁盘文件,用winhex打开
双击分区1找到flag.rar
解压得到图片就是flag
flag{73D3DA963F7505E9}
文件分析
文件分析
压缩包里面一个what,用winhex打开拉到最底下发现是png的文件尾(60 82),把头补上
得到的图片发现被隐藏了,改了下高度看到了flag
flag{welcome@2021}
恶意程序分析
IDA载入分析:
在函数sub_401302内发现异或:
于是对sc.jpg进行整体与 0x61 异或:
二进制写入文件
flag{49ba59abbe56e057}
恶意app分析
jadx打开app,再MainActiviti 找到目标邮箱:
flag{hahaha_wtf@163.com}
丢失的密码
通过010将文件头改成破坏,然后再binwalk分离
通过记事本找到password
flag{WldOb2J5NWllV1YwZER4}
工业固件分析
1、 010editor打开下面的文件,查看下文件类型。
pk开头是压缩包,直接解压出来,内容如下。
2.发现一个web目录,可以看到是一个网站文件。
浏览器打开,可看到相关信息。
3.根据题目的提示,既然是硬编码信息,那么用户名密码肯定是编码在了文件里面。发现在web目录下有个classes目录,里面有java包。
4. 直接用jd-gui打开,查看是否存在相关flag信息
5.对SAComm.jar文件进行查看的时候,发现了ftp session相关的信息,找到了ftpsession.class类。里面有个属性globalconfig。
6.点击globalconfig,跳到这里。
发现了ftp的账号密码,sysdiag,factorycast@schneider。
flag{sysdiag+factorycast@schneider}
扫一扫
1582
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
