工控CTF之协议分析5——COTP

最新推荐文章于 2024-07-29 12:31:01 发布
最新推荐文章于 2024-07-29 12:31:01 发布
阅读量3.1k 收藏 14
点赞数 4
分类专栏: CTF刷题 工控 文章标签: 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/128388305
版权
本文聚焦于工控流量分析中的COTP协议,介绍了COTP的五种类型及其在握手和数据传输中的角色。通过实例解析了如何在CTF中针对COTP协议进行流量分析,寻找黑客流量,并提供了相关题目链接和解题思路,帮助读者理解和应用COTP协议分析技巧。
摘要由CSDN通过智能技术生成

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

COTP

可以理解为基于TCP的工控TCP,主要有五种类型:

CR Connect Request (0x0e)——握手,发送方发送

CC Connect Confirm (0x0d)——握手,接收方发送

DT Data (0x0f)——传正常数据

UD User Data (0x04)——少见,传自定义数据

ED Expedited Data (0x01)——少见,传紧急数据

CR和CC只在建立连接时由双方发送,发起方发送CR,被动方发送CC,后续数据主要走DT。因为协议类似于TCP,较为底层,所以没有其他比较有用的协议字段可供解题;同样因为COTP较为底层,用来出题的概率较小,就像用纯TCP出题的概率一样

例题 2020ICSC济南站—COTP

题目要求:找到黑客流量,flag为后90字符的16机制

打开题目,筛选COTP协议,发现没有经过握手,直接就是传数据,但是黑客要想传输必须要重新建立连接,也就是会有一个新的握手出现,将其筛选出来

cotp && tcp.stream != 0

image-20221211163117369

题目明确是黑客流量,那么它应该存在大量可见字符,所以尝试提交握手后的几次数据,同时发现黑客建立了三次连接,数据几乎相同,符合黑客操作

找到后90个十六进制值即是flag

Shadow丶S
关注
专栏目录
工控协议-s7通讯协议
chenfeng857的博客
06-11 5460
工控协议——S7通讯协议 S7协议简介 2. TPKT协议 3.COTP协议 S7通信支持两种方式 S7comm协议 S7comm的结构主要分为三部分: Header: S7协议简介 S7以太网协议本身也是TCP/IP协议簇的一员,S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义,S7comm的协议栈修改程度更高,在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输 S7协议与TCP/IP其中的对应关系: 备注:这里的S7模型并不是说S7是独立于T
报文分析软件
04-20
本站配置一套网络通信记录分析系统,实现过程层和站控层网络的实时监视、记录和实时分析告警,网络记录分析系统中应采用独立单元对每个独立网络进行独立的记录和分析,避免一个单元跨接两个或两个以上的网络,因此一套网络记录系统至少应包含4个独立网络记录单元:两个为站控层双网记录单元,另两个分别记录两个过程层网络;每个独立网络由独立单元实现监测和记录,单个IED设备不能跨两个独立网络,过程层网络配置双网则要求相应配置两个独立单元。实现对DL/T860-9-2、MMS、GOOSE、COTP、SNTP、GMRP、IEC101、104协议和TCP/IP等协议的记录和分析功能,支持GMRP协议,报文记录数据完整率 100%。 网络通信记录分析系统可自动或者手动从记录仪下载记录文件,并通过规约分析模块对记录报文按逻辑通道进行报文详细分析,具备对报文各层面进行分析的能力。能够直观显示通信规约整个过程,具备显示分析报文的类型、报文内容,跟随报文给出明确的报文分析结果;具备故障报文定位和应用报文定位与查找功能,能够根据逻辑通道、时间等关键字对报文内容等单个或组合条件进行查询。
手摸手教你撕碎西门子S7通讯协议03--COTP连接请求
最新发布
hqwest的专栏
07-29 1159
在上节的socket三次握手成功之后,并不能马上进行数据交换,需要进行COTP连接请求,即客户端发送COTP报文给服务端,在COTP报文中包含“连接请求”和“Destination TSAP”,以明确CPU的机架号和槽号;服务端应答COTP报文,包含“连接确认”;这样服务端就清楚了客户端需要和哪个CPU来进行数据通讯。COTP分为两个部分,一是COTP连接包,一是COTP功能包。COTP连接包:COTP连接包主要用于建立、维护和断开COTP协议层的连接。
工业控制(ICS)---COTP协议
潇逗
04-17 795
CR和CC只在建立连接时由双方发送,发起方发送CR,被动方发送CC,后续数据主要走DT。观察发现开头为U2Fsd 因U2Fsd疑似网站https://www.sojson.com的特征,并且压缩包里存在key:jnds 因此使用aes算法解密,发现失败,尝试tripledes解密成功,获取flag。查看215,214后续握手后的交流包,216中发现意思是黑客流量,因为有kill字符。打开题目,筛选COTP协议,发现没有经过握手,直接就是传数据,题目要求:找到黑客流量,flag为后90字节的16进制。
2021CTF工业信息安全技能大赛(济南站)-工业协议分析
qq_43264813的博客
08-20 1325
2021CTF工业信息安全技能大赛(济南站)-工业协议分析 题目: 工业协议分析 内容: 通过分析流量包中的工业协议查询隐藏的flag。答案格式:flag{****************} 解题思路: 1.使用strings过滤其中字符串 2.将其中疑是base编码字符串进行解码 ...
工控CTF协议分析9——其他协议
一个普普通通的博客
12-20 1569
工控CTF协议分析9——其他协议
COTP(Connection Oriented Transport Protocol)
weixin_34062329的博客
08-13 878
2019独角兽企业重金招聘Python工程师标准>>> ...
工控CTF协议分析学习题目合集
12-20
本资源“工控CTF协议分析学习题目合集”是针对工控安全爱好者和专业人员设计的学习资料,涵盖了多个工控协议分析与实践题目,以辅助学习和提升技术水平。 首先,我们来看“1.Modbus”协议。Modbus是最广泛使用的...
工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
01-25
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为...工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
一道MMS工控协议CTF题的WriteUp-附件资源
03-02
一道MMS工控协议CTF题的WriteUp-附件资源
ctf论剑场misc——二维码
elsa________的博客
04-05 1009
二维码!!! 首先是一个压缩包文件 里面有个压缩包密码文件 打开密码 发现是个图片的base64的值 找个地方转换一下 http://www.vgot.net/test/image2base64.php 我用的是这个 注意要把前边的 data:xxx去掉 得到密码是asdfghjkl 然后获得一堆二维码 扫了几个发现 只有数值 0 和 1 应该组成起来是个二进制字符串 当然不可能一个个扫 之后利...
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就更好了,到时候记得m我一下,哈哈哈哈哈哈; 题目只做出5道,能做出来的都属于比较简单,自己就不写writeup了,丢人。。。
CTF工具之秋式日志分析器(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
工控测试---协议---IEC_MMS 61850--协议payload基本随机构造
我不是庸医
12-12 1320
目标: 构造随机的一个mms包,进行异常包测试 构造工具: scapy,好处是只需要关心具体的tcp payload,其它自动生成 构造内容注意点: 1、ethernet 2、ip 3、tcp 以上三层默认配置即可 4、TPTK: 03 00 XY MN 长度4 其中的XY MN 代表的是TCP load的整体长度 5、COTP: 02 F0 80 长度3 6、OS...
什么是COPS协议
weixin_33726943的博客
11-14 789
COPS协议是由IETF资源分配工作组(RAP)制定的维护管理协议。COPS定义了三个逻辑实体:策略决策点(PDP)、策略执行点(PEP)、本地策略决策点(LPDP),其中LPDP备份PDP的决策,当PDP与PEP的连接中断时,LPDP可代替PDP做出决策,PDP具有最终裁决权。PDP与PEP的关系可以看作是服务器与客户机的关系,PEP向远端的PDP发送配置、更...
工控协议 S7comm-Plus 用 wireshark 打开
Reality
10-19 1761
近期用到S7comm-Plus协议,用wirshark打开时显示为cotp
ppp协议数据抓包分析_MES、SCADA下的数据采集—西门子S7comm协议分析
weixin_39837105的博客
11-10 689
本文转载自安全客大家好,我是小智,智能制造之家号主~由于工业控制领域协议众多,大家在做MES或者SCADA项目的时候,总会因为各种各样的协议感到头疼,上次我们介绍了Modbus,串口通信等(下面的链接仅在微信公众号有效)Modubs 的RTU、ASCII、TCP傻傻搞不清楚?这将是你见过的最全面分析浅谈 MES、SCADA、PLC项目中的串口通信(232,485,422)及常见问题MES下的数据采...
ctf中mms协议分析题hngk
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析的题目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问题,我们需要先了解MMS协议的基本结构和特点。 MMS协议包括多个消息体,每个消息体都带有特定的头部和正文。在分析hngk题目时,我们需要检查MMS消息包的头部和正文,以确定其中所包含的信息。 首先,我们需要对MMS消息包进行解析,查看头部的字段信息。头部中通常包含了发送者和接收者的信息、消息的类型、MMS版本、时间戳等。通过分析头部信息,我们可以确定MMS消息的基本属性。 接下来,我们需要查看MMS消息包的正文内容。正文可以是文本、图片、音频、视频等多种媒体类型。我们需要仔细研究正文中的各个部分,以确定是否存在隐藏的信息。在hngk题目中,可能会有一些隐藏的命令、密码或者其他关键信息,通过分析正文内容,我们可以找到这些隐藏信息。 同时,我们还需要分析MMS消息包的编码方式。MMS消息可以使用多种编码方式进行数据传输,如Binary、Base64等。根据题目要求,我们可能需要对这些编码方式进行解码,以得到真正的数据。 总结来说,解决hngk问题需要对MMS协议的消息包进行逐层分析,包括头部字段、正文内容和编码方式。通过仔细研究这些信息,我们可以找到隐藏的命令或密码,从而解决这个题目。在这个过程中,需要运用MMS协议的相关知识和分析技巧。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值