学习记录（流量、日志分析）

[陇剑杯 2021]签到（流量分析）

 

Wireshark打开流量包，选择统计选项，对协议进行分级统计，发现流量包主要是TCP协议，且应用层的协议主要是HTTP

[CISCN 2023 初赛]被加密的生产流量（流量分析，modbus协议）

 

得到一个modbus.pcap流量包，将文件用wireshark打开，题目提示modbus，在wireshark中可以直接过滤modbus，也可以追踪tcp流，最终得到的就是大写字母，之后进行base32解码得到flag为c1f_fi1g_1000

补充：前面我们说了MODBUS有两种实现方式，一个是串口，一个是网口（后面称呼为TCP），那么MODBUS协议对应的也就有两个协议，但是这两个协议极为相似

 

知识点：

Modbus 协议简介 

Modbus 协议是应用于电子控制器上的一种通用语言。通过此协议，控制器相互之间、控制器经由网络（例如以太网）和其它设备之间可以通信。它已经成为一通用工业标准。有了它，不同厂商生产的控制设备可以连成工业网络，进行集中监控。

此协议定义了一个控制器能认识使用的消息结构,而不管它们是经过何种网络进行通信的。它描述了一控制器请求访问其它设备的过程，如果回应来自其它设备的请求，以及怎样侦测错误并记录。它制定了消息域格局和内容的公共格式。 

当在一Modbus网络上通信时，此协议决定了每个控制器须要知道它们的设备地址，识别按地址发来的消息，决定要产生何种行动。如果需要回应，控制器将生成反馈信息并用Modbus协议发出。在其它网络上，包含了Modbus协议的消息转换为在此网络上使用的帧或包结构。这种转换也扩展了根据具体的网络解决节地址、路由路径及错误检测的方法。

modbus由MODICON公司于1979年开发，是一种工业现场总线协议标准。1996年施耐德公司推出基于以太网TCP/IP的modbus协议：modbusTCP。

Modbus协议是一项应用层报文传输协议，包括ASCII、RTU、TCP三种报文类型。

标准的Modbus协议物理层接口有RS232、RS422、RS485和以太网接口，采用master/slave方式通信。

（1.1）在Modbus网络上转输

  标准的Modbus口是使用一RS-232C兼容串行接口，它定义了连接口的针脚、电缆、信号位、传输波特率、奇偶校验。控制器能直接或经由Modem组网。 

控制器通信使用主—从技术，即仅一设备（主设备）能初始化传输（查询）。其它设备（从设备）根据主设备查询提供的数据作出相应反应。典型的主设备：主机和可编程仪表。典型的从设备：可编程控制器.

 主设备可单独和从设备通信，也能以广播方式和所有从设备通信。如果单独通信，从设备返回一消息作为回应，如果是以广播方式查询的，则不作任何回应。Modbus协议建立了主设备查询的格式：设备（或广播）地址、功能代码、所有要发送的数据、一错误检测域。

从设备回应消息也由Modbus协议构成，包括确认要行动的域、任何要返回的数据、和一错误检测域。如果在消息接收过程中发生一错误，或从设备不能执行其命令，从设备将建立一错误消息并把它作为回应发送出去。

在其它类型网络上转输

在其它网络上，控制器使用对等技术通信，故任何控制都能初始和其它控制器的通信。这样在单独的通信过程中，控制器既可作为主设备也可作为从设备。提供的多个内部通道可允许同时发生的传输进程。

   在消息位，Modbus协议仍提供了主—从原则，尽管网络通信方法是“对等”。如果一控制器发送一消息，它只是作为主设备，并期望从从设备得到回应。同样，当控制器接收到一消息，它将建立一从设备回应格式并返回给发送的控制器。

[HGAME 2022 week1]好康的流量（流量分析，lsb）

下载得到的是一个流量包，用wireshark打开，追踪tcp流，发现有base64的编码值，而且还有image和png，所以将编码进行解码会得到一张图片，题目提示有lsb和图片隐写，那就用stegsolve打开发现一个条码，接着扫描条码，发现flag，提交了却是错误的，细看发现是flag不全,使用zsteg扫描通道,得到剩下的flag

 

 

LSB隐写的原理

在png图片的存储中，每个颜色表示需要有8bit，即有256种颜色，一共包含256的三次方个颜色，即16777216中颜色，人类的眼睛可以区分约1,000万种不同的颜色，剩下无法区分的颜色就有6777216。

 

那么什么是LSB呢，每个像素点的颜色可以用十进制0~255的数值表示，那么上图中的RGB（218,150,149）表示成二进制为：

 

LSB隐写就是修改RGB颜色分量的最低二进制位也就是最低有效位（LSB），而人类的眼睛不会注意到这前后的变化，我们仅对RGB中的最低位进行修改，如当前像素位点最后一位修改成1,1，0.则上述RGB变成218->219：

 

上述变化很难用肉眼察觉到，而且每一个像素位点携带了一位信息，那么我们可以利用八个字节的最低位存储一个比特信息，而该比特信息则可以转化为ASCII字符，从而达到隐写信息的目的。

流量分析

Wireshark

 

[陇剑杯 2021]日志分析（问1,2,3）（日志分析）

(1)打开文件，就发现是日志，题目要求提交带有文件后缀的文件名，发现日志中有多个带后缀的文件名，仔细对比就会发现只有www.zip后面的响应是200，其余的都是404，flag就是www.zip

（2）根据题目提示：分析攻击流量，黑客往/tmp目录写入一个文件

打开文件直接搜索tmp，发现有两个，但是第二个有文件名

 

 

（3）在第二问的基础上，发现后面有一个python请求，于是找到前面的splfileobject，即flag

 

拓展：