工控CTF之协议分析2——MMS

已于 2022-12-20 21:13:43 修改
阅读量3.4k 收藏 9
点赞数 4
分类专栏: 工控 CTF刷题 文章标签: tcp web安全
于 2022-12-20 17:42:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/127358610
版权

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

MMS

工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做题,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下

  • initiate(可以理解为握手)

    initiate-RequestPDU

    initiate-ResponsePDU

  • confirmed(可以理解为交互,即传数据)

    confirmed-RequestPDU

    confirmed-ResponsePDU

通常情况为

1轮initiate:即发送1个initiate-RequestPDU,接收1个initiate-ResponsePDU

n轮confirmed:直到会话主动关闭或被动断开即confirmed-RequestPDU和confirmed-ResponsePDU交替发送和接收

交互时的指令称为confirmedService

常见的confirmedService有

  • 对象操作
    • getNameList (1)
    • read (4)
    • write (5)
    • getVariableAccessAttributes (6)
    • getNamedVariableListAttributes (12)
  • 文件操作
    • fileOpen (72)
    • fileRead (73)
    • fileClose (74)
    • fileDirectory (77)

例题1 HNGK-MMS

image-20221210011846343

经过“握手”“分手”后开始传输数据,发现confirmedService的值均为4,查看是否有不是4的数据包(mms) && (mms.confirmedServiceRequest != 4)

发现均为4,无异常,那么flag基本就藏在数据流中了,一层一层查看数据

image-20221210012225855

发现domainID和itemID,分别对其过滤查看

((mms)) && (mms.domainId != "IEDRelay1") 发现domainID都是一样的值

再对itemID过滤,这里发现虽然itemID均不相同,但是都是LLN0开头的

image-20221210012841254

(mms) && (mms.domainId) && !(mms.itemId contains "LLN0")

image-20221210013049220

66是flag中f的ascii码,猜测可能是十六进制,但是i、j明显不在此范围内,猜测可能存在偏移,这里猜测偏移6,因为字母l的十六进制为6c

image-20221210014759774

发现fl和ag,猜测前后每两字节取值,因为两数据取自不同的itemID,拼接flag并加上{}即可

例题2 HNGK-流量分析

image-20221210143411216

发现大部分均为getNameList获取对象名,回复包也是get到的数据,先查询有无包含flag字符串

image-20221210144138180

既然有列出目录再往后找,找到fileopen flag.txt

查看返回值,得到一个打开该文件的句柄或者ID

image-20221210144307835

往后发现再次列出目录打开flag.txt,尝试找是否有读文件操作即fileOpen,mms.fileOpen == frsmID,依次尝试得到的几个id,在第二次打开中即frsmID=87504092找到读文件操作

image-20221210144923154

找到这串请求的返回包即序号1801,得到一串图片base64

image-20221210145042684

将base64转图片得到flag

image-20221210145252975

判断题目类型

可以在wireshark—统计—协议分级中查看各协议占比

Lua脚本编写Wireshark插件解析第三方私有协议
悦分享
07-25 4707
echo_500.lua”),通过这样的方式加载自定义的插件。目前对于Wireshark来说,C/C语言和Lua脚本是编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是它的语法和修改都非常简单,可以提高了开发效率。当然,有些工控流量可能比本文的例子相对复杂一些,可能包含加密和签名等字段,这就需要更长的逆向分析时间,只要把协议数据的报文格式了解清楚了,那么编写插件也是水到渠成的事情。......
一道MMS工控协议CTF题的WriteUp-附件资源
03-05
一道MMS工控协议CTF题的WriteUp-附件资源
ctf misc方向之MMS协议分析
这周末在做梦的博客
10-26 1836
一,MMS协议是什么? MMS(Microsoft Media Server Protocol),中文“微软媒体服务器协议”,用来访问并流式接收 Windows Media 服务器中 .asf 文件的一种协议MMS 协议用于访问 Windows Media 发布点上的单播内容。 MMS运行在WAP协议层之上,它不局限于传输格式,既支持CSD(Circuit-Switched Data 电路交换数据格式),也支持GPRS格式(General Packet Radio Service 通用分组无线服务),以W
计算机网络学习————(五)TCP/IP学习
最新发布
weixin_51398164的博客
03-02 840
TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议,主要用于在网络中可靠地传输数据。它通过三次握手建立连接,确保数据的有序传输和重复报文的自动丢弃。TCP还具备流量控制和拥塞控制机制,以应对网络中的速度不匹配和拥塞问题。TCP的报文段包含源端口、目的端口、序列号、确认号等信息,确保数据的可靠传输。 IP协议则是无连接的、非可靠的网络层协议,负责将数据包从源地址传输到目的地址。它支持广播和组播,并通过ARP协议实现IP地址与MAC地址的转换。IPv4地址短缺问题通过NAT技术解决。
MMS 协议学习笔记
长安新都市业主家园
03-18 1202
MMS 协议学习笔记 什么是 MMS MMS 是 Multimedia Messaging Service (多媒体消息服务) 的缩写,中文译为“彩信”,可以用于传送文字、图片、动画、音频和视频等多媒体信息。 手机终端合成多媒体消息后,可以向网内所有合法用户发送多媒体消息,由 MMSC ( 多媒体消息中心 )对消息...
MMS 协议
01-13 2292
  MMS 协议 MMS是(Multimedia Messaging Service)的缩写,中文意为多媒体短信服务,它最大的特色就是支持多媒体功能。多媒体信息使具有功能全面的内容和信息得以传递,这些信息包括图像、音频信息、视频信息、数据以及文本等多媒体信息,可以支持语音、因特网浏览、电子邮件、会议电视等多种高速数据业务,在GPRS网络的支持下,以WAP无线应用协议为载体传送视频片段、
MMS 通讯 协议解析记录
04-17
MMS通讯协议解析,编解码解析示例 电力行业IEC61850,做wireshark插件时用到的
CTF——MISC习题讲解(流量分析winshark系列~四)
tlovejr的博客
03-17 4908
CTF——MISC习题讲解(流量分析winshark系列~四) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列四。 一、工控协议分析 首先打开题目如下 搜索flag发现也没有什么有用的东西 其实在做流分题中还是有一个小技巧,就是看一下长度 排序看到确实有一个长度过于长,而且在下面也有base编码 然后导出分组字节流 这样的话先把对于的东西给去除,然后进行base64解码 发现是个图片,那就直接在这里转换为图片 得到flag{ICS-mms104} 二、管理员的密码就是fl
MMS协议解析1(zz)
basketball1h的专栏
07-22 3163
转自http://publishblog.blogchina.com/blog/tb.b?diaryID=5400413   简介   可以传输音、视频的通用服务器有两种,都有各自的优缺点。分别是:标准WEB服务器和流媒体服务器。标准WEB服务器使用HTTP协议。流媒体服务器使用两种协议提供媒体服务。这两种协议分别是HTTP1.0或1.1以及MMS
MMS协议解析2(zz)
basketball1h的专栏
07-22 2117
转自http://publishblog.blogchina.com/blog/tb.b?diaryID=5401347 01 至ServerPrefix 1 f0 f0 f0 f0 - 标志 (见标志段)Prefix 2 0b 00 04 00Then 1c 00 03 00结构题定义如下。功能:发送初始链接信息,包含播放器的版本号、客户端GUID(随机产生)和要连接
MMS(Manufacturing Message Specification)协议分析
热门推荐
学习记录
09-03 1万+
1、简介 MMS(Manufacturing Message Specification)中文翻译为制造报文规范,在介绍MMS之前我们先简单科普一下IEC61850标准。 IEC61850是电力系统自动化领域唯一的全球通用标准,而本文主要介绍的MMS就是运用在IEC61850标准站控层和间隔层之间,MMS通过对实际设备进行面向对象建模方法,实现了网络环境下不同制造设备之间的互操作。在2015年前MMS在电力系统远动通信协议中并未应用,但是IEC61850标准将其引入电力自动化领域,将其核心ACSI服务直
MMS协议报文实例分析
12-06
对报文进行解析及分析,对每一包发送内容进行详细分析,server to client 告知流属性等。
攻防世界crypto高手题的工业协议分析2
沐一 · 林 的博客
09-08 1035
攻防世界crypto高手题之工业协议分析2 继续开启全栈梦想之逆向之旅~ 这题是攻防世界crypto高手题的工业协议分析2 下载附件,是一个pcapng流量文件: . . (这里积累第一个经验) 题目描述说已提取出上位机通信流量,尝试分析出异常点,获取FLAG。 flag形式为 flag{},这其实就是一个暗示,flag就在通信流量中,至于哪里异常,查了资料,有的说UDP的长度有部分异常,要一个个点击查看。可是为什么我感觉UDP大的一堆,小的也一堆,也不知道哪里异常: . . 然后就是题目暗示说fla
[纵横网络靶场社区]MMS协议分析
末初 · mochu7
09-12 2738
排序一下包的长度,发现一个长度比较突出的TCP的包 发现内容是一张base64编码的图片 data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAdAAAABiCAYAAADgKILKAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAABzXSURBVHhe7Z2Js11Fncfn75maqZmaqZkaS0elXAp1GHRUhGFAQHYQFQRFBWQRiBoBWQyyKaB.
攻防世界 Crypto高手进阶区 2分题 工业协议分析2
闵行小鱼塘
12-03 382
继续ctf的旅程,攻防世界Crypto高手进阶区的2分题,本篇是工业协议分析2的writeup
纵横网络-MMS协议分析
t1melessl0ve的博客
09-27 347
工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag形式为 flag{}。
工控ctf
qq_45951598的博客
10-29 8050
文章目录黑客的大意 黑客的大意 下载后得到mail,在文件后面jpg 打开图片是一个这样的图片, 这里我们根据题目的意思: 黑客在入侵后不小心留下了这样一个文件,请分析文件进行溯源,找到黑客的邮箱。flag格式为flag{邮箱账号} 这里的主要关键词是对文件进行溯源,以及flag格式为邮箱账号 然后我们看文件有什么特征,然后发现下面有一句英文 ...
纵横靶场:MMS协议分析
Zeker62的博客
09-03 504
该靶场会获得一个数据包 点击追踪流=>TCP流,在里面搜索flag 会显示flag.txt文件 但是后面的日期并不是flag 在最大的报文里面,有个png图片,而且这编号很有趣,刚好在刚刚发现的flag.txt报文后面的不远处,猜想这传输的可能就是flag.txt 这种格式刚好是可以用站长工具base64转图片的格式 ...
CTF工控工业互联网(ISC)复现总结WP(超详细)
Aluxian_的博客
12-07 5537
工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做题,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。格式为 flag{}某10段工控网络中,工业协议中存在异常数据。2019-工业信息安全技能大赛-深圳站-工业协议分析1。
ctfmms协议分析题hngk
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析的题目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问题,我们需要先了解MMS协议的基本结构和特点。 MMS协议包括多个消息体,每个消息体都带有特定的头部和正文。在分析hngk题目时,我们需要检查MMS消息包的头部和正文,以确定其中所包含的信息。 首先,我们需要对MMS消息包进行解析,查看头部的字段信息。头部中通常包含了发送者和接收者的信息、消息的类型、MMS版本、时间戳等。通过分析头部信息,我们可以确定MMS消息的基本属性。 接下来,我们需要查看MMS消息包的正文内容。正文可以是文本、图片、音频、视频等多种媒体类型。我们需要仔细研究正文中的各个部分,以确定是否存在隐藏的信息。在hngk题目中,可能会有一些隐藏的命令、密码或者其他关键信息,通过分析正文内容,我们可以找到这些隐藏信息。 同时,我们还需要分析MMS消息包的编码方式。MMS消息可以使用多种编码方式进行数据传输,如Binary、Base64等。根据题目要求,我们可能需要对这些编码方式进行解码,以得到真正的数据。 总结来说,解决hngk问题需要对MMS协议的消息包进行逐层分析,包括头部字段、正文内容和编码方式。通过仔细研究这些信息,我们可以找到隐藏的命令或密码,从而解决这个题目。在这个过程中,需要运用MMS协议的相关知识和分析技巧。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值