工控CTF之协议分析3——IEC60870

于 2022-12-20 21:14:13 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: CTF刷题 工控 文章标签: 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/128388201
版权

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

IEC60870

  • 子协议
    • IEC101(任务相关)
    • IEC102(电量相关)
    • IEC103(保护相关)
    • IEC104(101的网络版)
    • IECASDU(基于101/104的应用服务数据单元传输)
  • 主要技巧
    • 筛选iec60870_asdu
    • 关注IOA的值
    • 可尝试用type进行分类

例题1 HNGK-奇怪的工控协议

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w3GWEErL-1671529464977)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101509327.png)]

(图中应为一半以上涉及modbus)

筛选条件iec60870_104,iec60870_asdu,分别查看IOA的值并看数据书否有异常或奇怪的地方

发现flag

image-20221210151352374

例题2 HNGK-协议分析

发现此题目存在多个连接,按分组筛选iec60870_asdu && tcp.stream == 0

image-20221210155353399

发现有些数据包是报错的,正确的包应该含有IOA的值iec60870_asdu && tcp.stream == 0 && iec60870_asdu.normval

还有五百多条数据,剩下的可以以TypeID为条件筛选,一个一个筛过去

(((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid == 34)发现IOA的值对应的基本都是乱码,或者发现还有三百多条数据判断他是正常的

最后在typeid=9处发现两个等号收尾的以两字节为一组的数据

((((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid != 34)) && (iec60870_asdu.typeid != 9)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ur2BOPfZ-1671529464979)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101614117.gif)]

将其提取出来解base64错误,发现开头mZhx,而flag的base64对应值为Zmxh,猜测是前后颠倒两两一组

得到flag

题目难点在于连接过多,筛选复杂,出题人还算良心第一条连接就有flag,否则还要多次筛选tcp.stream;对于数据敏感性也是难点,再翻数据的时候能发现数据异常或特征;筛选小技巧typeid

Shadow丶S
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
一道MMS工控协议CTF题的WriteUp-附件资源
03-02
一道MMS工控协议CTF题的WriteUp-附件资源
IEC104工控协议生成工具
11-15
04规约调试工具,模拟104主控站,方便104规约的理解
IEC60870-5-104通讯协议文本
11-26
国际标准-IEC60870-5-104通讯协议文本,完整的通讯协议介绍,部分指令实例介绍。
CTF工控安全.pdf
02-26
CTF工控安全.pdf
lib60870.NET:lib60870.NET的官方存储库,是C#中IEC 60870-5-101104协议的实现
05-06
自述文件lib60870.NET v2 lib60870.NET库,用于C#中基于IEC 60870-5的协议 当前实现仅包含IEC 60870-5-101 / 104协议的代码。 另请参阅《用户指南》。 编译并运行示例: lib60870.NET: 使用MonoDevelop或Visual Studio在lib60870.NET文件夹中打开提供的解决方案文件。 您应该能够使用MonoDevelop或Visual Studio的任何最新版本来构建和运行该库和示例。 接触: 该库是由我的MZ Automation GmbH开发并提供支持的。 有关错误报告,提示或支持,请联系 发牌 该软件已获得GPLv3的许可( )。 商业许可证和支持 MZ Automation GmbH提供支持和商业许可选项。 请联系了解更多详细信息。 仅在获得商业许可的情况下才支持IEC 60870-5-1
IEC60870-104报文解析 —— 利用Wireshark对报文逐字节进行解析详细解析IEC60870-104附含模拟器以及pcap包 阅
weixin_38843284的博客
11-17 2039
https://www.cnblogs.com/Db2k/p/12935966.html
基于TCP/IP的IEC60870-5-104远动通信协议
iteye_5099的博客
05-12 1320
介绍了国际电工委员会制定的基于TCP/IP网 络的调度主站和远方子站远动通信协议IEC60870-5-104的体系结构、参考模型、传输帧格式及在南方电网直调厂站中的应用。针对通过 TCP/IP网络访问传输远动信息存在的安全问题,对其传输模式进行了深入研究,提出了一种基于加密和身份认证的安全报文传送方法。在南方电网应用的经验 表明,该方法是合理和有效的。   1.引言 ...
基于TCP/IP的IEC60870-5-104远动规约在电力系统中的应用
iteye_5099的博客
05-12 969
      摘  要 :根据国际电工委员会制定的IEC-60870-5-101和IEC-60870-5-104远动规约,我国已经制定了相应的配套标准 DL/T634-1997和 DL/T634.5104-2002。IEC-60870-5-101远动规约已经在我国电力系统中得到了较为广泛的应用,而IEC- 60870-5-104作为采用标准传输协议子集的IEC60870-5-10...
IEC60870-5-103继电保护设备信息接口通信协议测试方法
测控道
07-27 4926
1 前言 IEC60870-5-103继电保护设备信息接口标准提供了继电保护设备(或测控设备)的信息接口规范。相关的国家标准有DL/T667-1999通信协议。 2 通信协议 2.1 术语 信息对象组(group of information object) 一个信息对象的组是公共地址或信息地址一个集。 控制方向control direction 从控制站(主站)到被控站(子站)的传输方向。 监视方向monitoring direction 从被控站(子站)到控制站(主站)的传输方向。 2.2
2021CTF工业信息安全大赛第一场题.rar
07-02
2021CTF工业信息安全大赛第一场题.rar
工控CTF协议分析学习题目合集
12-20
主页工控CTF学习配套题目,搭配学习
lib60870 IEC101,IEC101 NET开源代码
06-25
lib60870.NET是.net开源代码,包含IEC101,104的源代码 ,支持客户端和服务端的代码。
CTF图像隐写分析工具Windows版 stegdetect.exe
12-25
stegdetect是一种数字图像隐写分析工具,主要实现JPEG图像的隐秘信息的嵌入的检测,支持检测JSteg、Outguess、Jphide、InvisibleSecrets。github上的源码难以编译,在此分享的是编译好的exe。
Triangle MicroWorks, Inc
iteye_5099的博客
04-14 350
发现Triangle MicroWorks, Inc公司不愧为专门写60870-5规约的公司,最近在看他们写的IEC 104 Master /Slave,写的确实精致。 回调函数,定时器用得很不错,层次,C中应用C++类的实现很清晰啊。 ...
2020年江西工业互联网安全技术技能大赛WP
y920312的专栏
11-09 2874
目录 ## 黑客留下的文件 ## 黑客留下的文件 1、前置知识 已知新型的php一句话木马如果接收到pass参数,则会生成16位的随机秘钥,存储到session中,返回的内容是AES的密钥。 2、用Wireshark打开后,首先看其http流量,发现主要对shell.jsp和.index.php页面进行了请求。 3、通过查看http流量包发现GET /public/.index.php?pass=531和pass632符合新型的木马是随机生产的16位随机密钥。 通过...
工业协议解析——IEC60870-104
weixin_38843284的博客
12-06 5196
104报文较为繁琐。 共有S帧、I帧、U帧。 简单的说I帧是用来传输数据、S帧是用来信息确认、U帧用来控制。 1 U帧 U帧具有不计数的控制功能,长度为6个字节的固定帧长。 用于控制报文。 其中,C表示确认,V表示生效。 U 格式帧使用到以下三种命令 启动 U 帧,用于启动应用层 传输控制命令 主站发送:680407000000 从站返回:68040B000000 07 0B为控制域 停止 U 帧,用于停止应用层 *传输控制命令 * 主站发送:680413000000 从站返回
IEC60870-5-104通信协议测试方法
测控道
07-27 4702
1 前言 IEC60870-5-104规定了采用标准传输协议子集的IEC60870-5-101网络访问。IEC60870-5-101基本远动任务通信规约提供了在主站和远动子站之间发送基本远动报文的通信文件集, 在主站和每个远动子站之间是采用固定连接的数据电路,用于厂站与调度主站间通讯。相关的国家标准有DL/T634.5104-2002通信协议。 本文将以DL/T634.5104-2002通信协议为基础,介绍如何使用格西烽火通信测试软件进行编写测试项目,进行测试符合DL/T634.5104-2002通信协议
IEC-60870-5-104 scada
波波诸葛伟
12-04 2612
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ctf中mms协议分析题hngk
最新发布
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析的题目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问题,我们需要先了解MMS协议的基本结构和特点。 MMS协议包括多个消息体,每个消息体都带有特定的头部和正文。在分析hngk题目时,我们需要检查MMS消息包的头部和正文,以确定其中所包含的信息。 首先,我们需要对MMS消息包进行解析,查看头部的字段信息。头部中通常包含了发送者和接收者的信息、消息的类型、MMS版本、时间戳等。通过分析头部信息,我们可以确定MMS消息的基本属性。 接下来,我们需要查看MMS消息包的正文内容。正文可以是文本、图片、音频、视频等多种媒体类型。我们需要仔细研究正文中的各个部分,以确定是否存在隐藏的信息。在hngk题目中,可能会有一些隐藏的命令、密码或者其他关键信息,通过分析正文内容,我们可以找到这些隐藏信息。 同时,我们还需要分析MMS消息包的编码方式。MMS消息可以使用多种编码方式进行数据传输,如Binary、Base64等。根据题目要求,我们可能需要对这些编码方式进行解码,以得到真正的数据。 总结来说,解决hngk问题需要对MMS协议的消息包进行逐层分析,包括头部字段、正文内容和编码方式。通过仔细研究这些信息,我们可以找到隐藏的命令或密码,从而解决这个题目。在这个过程中,需要运用MMS协议的相关知识和分析技巧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值