[CISCN2023]被加密的生产流量

最新推荐文章于 2024-01-22 09:00:49 发布
最新推荐文章于 2024-01-22 09:00:49 发布
阅读量532 收藏 1
点赞数
分类专栏: wp 文章标签: 安全 php ciscn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/130922706
版权

[CISCN2023]被加密的生产流量

某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员,通过技术手段截获出一段通讯流量,但是其中的关键信息被进行了加密,请你根据流量包的内容,找出被加密的信息。(得到的字符串需要以flag{xxx}形式提交)

得到一个modbus.pcap流量包

该开始我们先根据modbus进行分析,参考文章:Modbus协议分析

使用脚本:

# -*- coding = utf-8 -*-
# @Time : 2023/5/27 9:50
# @Author : Leekos
# @File : 被加密的生产流量.py
# @Software : PyCharm
import pyshark
def get_code():
     captures = pyshark.FileCapture("modbus.pcap")
     func_codes = {}
     for c in captures:
         for pkt in c:
             if pkt.layer_name == "modbus":
                 func_code = int(pkt.func_code)
                 if func_code in func_codes:
                     func_codes[func_code] += 1
                 else:
                     func_codes[func_code] = 1
     print(func_codes)
if __name__ == '__main__':
 get_code()

分析出:

image-20230529100338650

功能码为6(代表预置单个寄存器)的modbus协议数据包有16个,很可疑,于是我们使用wireshark过滤:

modbus.func_code == 6 && modbus.request_frame

image-20230529100743080

这个Data的值好像有用,16进制,我们将这些data拼接起来,16进制转字符串,无效:

image-20230529100856821

后来在tcp流中发现base32编码:

image-20230529100929110

base32解码:

MMYWMX3GNEYWOXZRGAYDA=

得到flag

image-20230529101032346

Leekos
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密网络流量测量和分析.pdf
08-08
流量加密是目前互联网流量的主流方式,本报告分为三个方面讨论流量加密的问题: (1) 由于加密流量算法本身造成流量的随机性,因而直接针对加密流量的分类方法将失效;(2) 加密协议本身交互过程,导致非加密流量参与...
第十六届全国大学生信息安全竞赛 ——创新实践能力赛线上初赛------WP
m0_75178803的博客
06-05 962
通过测试和题目名称得知存在python沙盒逃逸并且一次只能输入7个字符串,使用+进行拼接调用eval函数成功执行命令。用wireshark打开modbus.pcap文件,追踪TCP流。个字符(A-Z,2-7)组成,末尾可能会有‘=’,但最多有6。进行base32解密即可得到flag值。NSSCTF的CISCN的赛后环境。base32加密特征:密文由。逐条输入指令得到flag。【1】被加密生产流量
[CISCN 2023 初赛]Sign_in_passwd 被加密生产流量 题目复现
2201_75327657的博客
06-14 606
且观察第二行的密钥发现带有百分号%大胆推测可能是url编码后的密钥。且有等号大概就是base32加密只需要去在线解码一下答案就出来了。已知是流量分析题先把题目拉入wireshark中。base64多了小写字母,0,1,8,9以及+/通过做题经验与交流猜测大概第一行是加密后的代码。首先根据经验看看是否flag存在于TCP流中。1.下载压缩包后用文本的形式打开他给的文件。此时又去复习了下base64和32的区别。那我们可以去试一试先还原密钥。只需要再进行一下base64。打开后发现确实有东西。
加密流量分析-5.加密与非加密流量识别
bingokunkun的博客
11-29 6836
加密与非加密流量识别1. 加密流量性质2. 加密流量识别方法2.1 多元组熵2.2 累加和检验2.3 C4.5决策树算法2.4 加密流量识别流程与算法 1. 加密流量性质 由于加密后的流量数据呈现均匀随机分布的特点,大多研究人员都是采用基于负载随机性检测的识别方法。 2. 加密流量识别方法 通常在明文传输的网络流量中,流量数据的分布会根据应用类型而符合相应的规律。而流量数据在加密后,其内容相关的统计特征将会被消除。本节从加密流量的多元组熵、累加和检验值特征等方面进行分析,并简要介绍C4.5决策树模型。 2.
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 1777
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
风二西CTF流量题大集合-刷题笔记|NSSCTF流量题(1)
zerorzeror的博客
01-22 800
imgulfflagiswelcometfjnu 修正 imgulfflagiswelcometofjnu。
CTF:Modbus协议报文_恶意节点查找及错误报文分析
npu_nazi的博客
03-21 1145
所提供的压缩包是某工控业务网络中的实际捕获的通信数据包。请你发现并找出其中所有的Modbus/TCP包。仅仅针对Modbus数据包分析如下几点: 发现Modbus通信的Master节点地址与相对应的slave节点地址。有几组master-slave? 请绘制业务包中的Modbus基本通信拓扑结构。
加密流量分析.pdf
02-23
2019 年, 80% 的网站流量都会被加密。 对于使用互联网通信并在线处理业务交易的企业而言,加密技术可以为其提供更强的隐私性和安全 性。移动应用、云应用和 Web 应用依赖合理实施的加密机制,使用密钥和证书来...
网络攻防之加密流量检测技术洞察.pdf
04-30
加密流量的技术洞察、包含对某厂商的技术分析
含物联网协议modbus的pcap流量
05-30
含物联网协议modbus流量包pcap,可通过wireshark打开后,直接用modbus进行过滤。(注意使用新版wireshark)
含物联网协议modbus流量包pcap
05-30
含物联网协议modbus流量包pcap,可通过wireshark打开后,直接用modbus进行过滤。(注意使用新版wireshark)
Modbus协议模拟器与协议分析以及示例pcap包
09-25
压缩包内包含modbus server和client模拟器 以及个人总结的modbus协议解析文档 和一些示例的pcap包
金盾视频加密软件2023免费版
06-19
基于新一代视频加密技术,更高安全性、支持Win7、WIN8、Win10;支持各种视频的高速编码加密与播放;可以加密各种视频音频格式文件(wmv, avi, asf, mpg, rm, rmvb, mp4, flv, mp3, vob, mov, mkv, mpeg, dat等等其他...
加密流量分析
weixin_30663391的博客
01-13 2200
1.背景 现在很多高级的攻击的目的都是为了获取数据,部分是为了损人不利己的破坏。对于前者,主要是把获取的机密信息加密绕过DLP系统传输到外面,这也是很多安全事件的源头。不解密,技术人员无法检测此类恶意软件,这就意味着他们面临在安全和隐私之间需要做出权衡。 2.简述 用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业面临的一个难题……现在,这一难题...
学习记录(流量、日志分析)
qq_73861475的博客
08-08 168
下载得到的是一个流量包,用wireshark打开,追踪tcp流,发现有base64的编码值,而且还有image和png,所以将编码进行解码会得到一张图片,题目提示有lsb和图片隐写,那就用stegsolve打开发现一个条码,接着扫描条码,发现flag,提交了却是错误的,细看发现是flag不全,使用zsteg扫描通道,得到剩下的flag。前面我们说了MODBUS有两种实现方式,一个是串口,一个是网口(后面称呼为TCP),那么MODBUS协议对应的也就有两个协议,但是这两个协议极为相似。
杂项_流量包类
qq_44657899的博客
08-23 494
工控 modbus 题目:I2S-协议分析 题目提示公开协议,在协议过滤规则中过滤 modbus 协议: 题目提示正常业务的异常内容,modbus 协议正常业务常用的功能码为 0-16,于是再对功能码进行一个一个的过滤,直到过滤到功能码 15: Modbus/TCP报文格式 modbus功能码位置: 功能码作用 功能码向服务器指示将执行哪种操作。 功能码 01 为读内部比特量输出状态;如告警、变位、故障、异常等。 功能码 02 为读外部开关量输入状态;如光耦输入、继电器输入等。 功能码 03 为读内
加密流量分析-4.加密协议分析
bingokunkun的博客
11-29 1513
加密协议分析(上)1.IPSec安全协议1.1 相关概念1.1.1 数据流1.1.2 安全联盟SA1.2 报文首部认证协议AH1.3 封装安全载荷协议ESP1.4 互联网间密钥交换协议IKE1.5 协议实例分析1.6 流量特征分析2.TLS安全协议2.1 handshake协议2.2 Record协议2.3 TLS相关子协议2.4 TLS1.3与TLS1.2的区别2.5 协议实例分析2.6 流量特征分析 本章介绍几种典型的网络加密协议,由于篇幅较长分为两篇博客。上篇介绍IPSec和TLS,下篇介绍HTTP
利用JA3和JA3S识别加密数据流量
qq_42947816的博客
05-10 4021
JA3 是一种比基于 IP 或基于域名的 IOC 更有效地检测 SSL 上的恶意活动的方法。 JA3 是根据SSL hello包的特征进行检测,而并非是检测通信内容。
wireshark如何抓取加密流量
最新发布
03-27
然而,Wireshark默认情况下无法直接捕获加密流量,因为它只能查看未经加密的数据包。 如果你想要捕获加密流量,你需要使用一些额外的工具或技术来解密它。以下是一些常见的方法: 1. 使用SSL/TLS解密:如果你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值