工控CTF之协议分析1——Modbus

已于 2022-12-20 21:13:50 修改
阅读量7.4k 收藏 37
点赞数 10
分类专栏: CTF刷题 工控
于 2022-12-20 17:37:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/128387982
版权

网络协议 tcp web安全

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

Modbus

Modbus,市场占有率高、出题频率高,算是最常见的题目,因为这个协议也是工控领域最常见的协议之一,主要有三类

  • Modbus/RTU

    从机地址1B+功能码1B+数据字段xB+CRC值2B

    最大长度256B,所以数据字段最大长度252B

  • Modbus/ASCII

    由Modbus/RTU衍生,采用0123456789ABCDEF 表示原本的从机地址、功能码、数据字段,并添加开始结束标记,所以长度翻倍

    开始标记:(0x3A)1B+从机地址2B+功能码2B+数据字段xB+LRC值2B+结束标记\r\n2B

    最大长度513B,因为数据字段在RTU中是最大252B,所以在ASCII中最大504B

  • Modbus/TCP

    不再需要从机地址,改用UnitID;不再需要CRC/LRC,因为TCP自带校验

    传输标识符2B+协议标识符2B+长度2B+从机ID 1B+功能码1B+数据字段xB

题目中一般只考Modbus/TCP类型

功能码(常见)

1:读线圈
2:读离散输入
3:读保持
4:读输入
5:写单个线圈
6:写单个保持
15:写多个线圈
16:写多个保持

例题1 HNGK-Modbus流量分析

打开流量包发现基本都是Modbus/TCP协议,包含少量TCP协议,第一个筛选条件,找出所有Modbus协议

image-20221204174443110

第二个筛选条件:分析功能码,以功能码为1举例

image-20221204174802308

第三筛选条件,找回包(对比发现回包有一个代表长度的Byte Count),且发现看似是二进制的乱码

image-20221204175519470

查找每一个功能码,最终在功能码16找到flag

image-20221204175337229

例题2 HNGK-modbus(异常流量)

flag为异常流量的序号

筛选出所有Modbus协议流量,发现有多种功能码,一个一个查询是否有异常流量

首先是17,发现请求包中无其他参数,查看前面几个回包均发现060000数据,猜测此为正常流量,于是将060000作为不查询条件

image-20221204180959778

没有其余流量,判断功能码17无问题,将17作为不查询条件接着查看下一个功能码

功能码109:查询和返回都有数据,先将查询的数据54不选中,得到大量返回包,将其数据00不选中

image-20221204181412183

没有异常流量,查询下一功能码

功能码67:方式同上,这里将返回数据有多种情况

最终在功能码1中发现异常

(modbus.func_code == 1) && (modbus.bit_cnt != 8)

image-20221204191810369

有请求包就有返回包,四个包都是异常的,但是异常一定是有请求数据异常导致,所以实际上只需找到请求包即可

筛选条件有多种方式

(((((modbus.func_code == 1)) && !(modbus.reference_num == 0)) && !(modbus.reference_num == 1536)) && !(frame[63:1] == 00)) && !(frame[63:1] == fe)

image-20221204192317360

例题3 HNGK-modbus协议分析(偏脑洞)

以Modbus协议为条件筛选,发现功能码大部分为3,少数为2和6,老规矩,一个一个分析

以功能码3为例:请求包几乎都一样,无明显异常

image-20221209192944023

筛回复包,题中源ip为192.1688.161.2的是回复,所以ip.src == 192.168.161.2

可以看到有很多无效数据

image-20221209193157264

将无效数据筛除,条件有很多,这里筛选包含byte count的数据即为回复数据

从头到尾看一遍会发现响应值逐渐出现数据,看似很有规律且都是键盘上那一行字符

复制16进制流并剔除不需要的杂数据

image-20221209194256817

将无用字符00删除,得到有用十六进制

image-20221209200850842

将其转为十进制

image-20221209201231024

这一题的脑洞也就是这里,将十进制当做十六进制处理,发现居然没有乱码,得到的结果很合理

image-20221209202321485

再解十六进制得到明显base64,解得flag

Shadow丶S
关注
专栏目录
工控CTF协议分析学习题目合集
12-20
主页工控CTF学习配套题目,搭配学习
2024年网安最新CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
2401_84297944的博客
05-03 2031
工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。
CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
最新发布
2401_86436868的博客
09-05 2561
Reserved。
纵横网络靶场社区 Modbus协议
qq_61993117的博客
09-08 425
分析Modbus协议
ctf竞赛题1
2301_78083049的博客
06-09 1485
过滤出modbus协议的流量,发现其中除了读取Holding 寄存器之外,就是写多个寄存器,吧所有写入包过滤出来。发现每个数据包写入了两个字节,但其实写入的内容大部分都是在0-127,而且是写入了不同位置的寄存器。首先将上述条件过滤后的数据包分组另存为modbus.pcap,之后写脚本把这部分提取出来。所以flag为flag{you_cant_fight_fate}之后进行查看,只有写多个寄存器时是写入了数据的,进一步把。查看附件以获取flag。
CTF工控流量分析-题集1-modbus协议附加信息
m0_51198141的博客
11-28 760
题目只有提示,被加密的生产流量对于工控来说这道题实在是非常简单,工控流量没有做过很多,后面会再多做做相关这里的。有缺陷欢迎留言指出。
cip 报文 工控协议分析
12-27
用于分析工控协议cip的报文.用于学习和借鉴.网上的资源较少,故上传,用着自取.
CTF:Modbus协议报文_恶意节点查找及错误报文分析
npu_nazi的博客
03-21 1352
所提供的压缩包是某工控业务网络中的实际捕获的通信数据包。请你发现并找出其中所有的Modbus/TCP包。仅仅针对Modbus数据包分析如下几点: 发现Modbus通信的Master节点地址与相对应的slave节点地址。有几组master-slave? 请绘制业务包中的Modbus基本通信拓扑结构。
CTFHUB 简单Modbus协议分析
m0_49025459的博客
01-10 1259
题目 先在kali里面strings一下 然后我们获得一串 然后在线hex转ASCII 就得到了flag flag{DGswTfgy1GD236fs2sfF2dskLng}
工控网络中针对特定工业协议的行为分析
图幻未来的博客
05-04 612
工业协议是用于在工业控制系统(ICS)和设备之间传输数据和控制信号的一组规则。常见的工业协议包括Modbus、Profibus、Profinet等。这些协议在设计之初主要针对的是实时性、可靠性和稳定性需求,因此在安全性方面考虑不足。这使得工控网络成为了黑客攻击的重要目标。
CTF工控流量分析-题集2-[闽盾杯 2021]Modbus的秘密
m0_51198141的博客
11-29 439
没什么有用的信息这道题和题集1的刚好是两个知识点,还是比较简单,按照常规找就行。
工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
01-25
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
一道MMS工控协议CTF题的WriteUp-附件资源
03-02
一道MMS工控协议CTF题的WriteUp-附件资源
CTF工具之秋式日志分析器(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
ctf论剑场misc——二维码
elsa________的博客
04-05 1076
二维码!!! 首先是一个压缩包文件 里面有个压缩包密码文件 打开密码 发现是个图片的base64的值 找个地方转换一下 http://www.vgot.net/test/image2base64.php 我用的是这个 注意要把前边的 data:xxx去掉 得到密码是asdfghjkl 然后获得一堆二维码 扫了几个发现 只有数值 0 和 1 应该组成起来是个二进制字符串 当然不可能一个个扫 之后利...
CTF Misc 神奇的Modbus
quyuquan2014的博客
08-02 296
直接使用Ctrl+F 搜索,选择分组字节流、宽窄、字符串,点击查找,发现Flag。下载附件 modbus_jmwHCjk.pcapng。用Wireshark 软件打开。
工控CTF中常见题型介绍(上)
jennycisp的博客
11-22 1326
工控CTF题目主要以流量分析、无线电分析、组态分析、梯形图等方向为主,偶尔有逆向分析、日志分析等相关分析题目。相关赛事较少,赛事主办方以政府为主,常见的有每年的ICSC/IISC国赛及其各省的选拔赛/省赛。线下赛有工业网络渗透实战、工业应急响应等赛制,主要考察渗透和运维能力。本篇因csdn存在图片数量限制,本篇只是总结了工控ctf协议分析相关题目的解题方法。对于工控ctf中逆向分析、组态分析、梯形图相关题目放到下一章节进行讲解。
CTFHub 简单Modbus协议分析 WP
qq_61993117的博客
09-02 1843
简单Modbus协议分析wp
工控CTF协议分析9——其他协议
一个普普通通的博客
12-20 1656
工控CTF协议分析9——其他协议
ctf中mms协议分析题hngk
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析的题目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问题,我们需要先了解MMS协议的基本结构和特点。 MMS协议包括多个消息体,每个消息体都带有特定的头部和正文。在分析hngk题目时,我们需要检查MMS消息包的头部和正文,以确定其中所包含的信息。 首先,我们需要对MMS消息包进行解析,查看头部的字段信息。头部中通常包含了发送者和接收者的信息、消息的类型、MMS版本、时间戳等。通过分析头部信息,我们可以确定MMS消息的基本属性。 接下来,我们需要查看MMS消息包的正文内容。正文可以是文本、图片、音频、视频等多种媒体类型。我们需要仔细研究正文中的各个部分,以确定是否存在隐藏的信息。在hngk题目中,可能会有一些隐藏的命令、密码或者其他关键信息,通过分析正文内容,我们可以找到这些隐藏信息。 同时,我们还需要分析MMS消息包的编码方式。MMS消息可以使用多种编码方式进行数据传输,如Binary、Base64等。根据题目要求,我们可能需要对这些编码方式进行解码,以得到真正的数据。 总结来说,解决hngk问题需要对MMS协议的消息包进行逐层分析,包括头部字段、正文内容和编码方式。通过仔细研究这些信息,我们可以找到隐藏的命令或密码,从而解决这个题目。在这个过程中,需要运用MMS协议的相关知识和分析技巧。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值