工控CTF之协议分析5——COTP

最新推荐文章于 2023-07-13 09:19:11 发布
最新推荐文章于 2023-07-13 09:19:11 发布
阅读量2.6k 收藏 12
点赞数 3
分类专栏: CTF刷题 工控 文章标签: 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/128388305
版权

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

COTP

可以理解为基于TCP的工控TCP,主要有五种类型:

CR Connect Request (0x0e)——握手,发送方发送

CC Connect Confirm (0x0d)——握手,接收方发送

DT Data (0x0f)——传正常数据

UD User Data (0x04)——少见,传自定义数据

ED Expedited Data (0x01)——少见,传紧急数据

CR和CC只在建立连接时由双方发送,发起方发送CR,被动方发送CC,后续数据主要走DT。因为协议类似于TCP,较为底层,所以没有其他比较有用的协议字段可供解题;同样因为COTP较为底层,用来出题的概率较小,就像用纯TCP出题的概率一样

例题 2020ICSC济南站—COTP

题目要求:找到黑客流量,flag为后90字符的16机制

打开题目,筛选COTP协议,发现没有经过握手,直接就是传数据,但是黑客要想传输必须要重新建立连接,也就是会有一个新的握手出现,将其筛选出来

cotp && tcp.stream != 0

image-20221211163117369

题目明确是黑客流量,那么它应该存在大量可见字符,所以尝试提交握手后的几次数据,同时发现黑客建立了三次连接,数据几乎相同,符合黑客操作

找到后90个十六进制值即是flag

Shadow丶S
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
工控CTF协议分析学习题目合集
12-20
主页工控CTF学习配套题目,搭配学习
2021CTF工业信息安全大赛第一场题.rar
07-02
2021CTF工业信息安全大赛第一场题.rar
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就更好了,到时候记得m我一下,哈哈哈哈哈哈; 题目只做出5道,能做出来的都属于比较简单,自己就不写writeup了,丢人。。。
COTP(Connection Oriented Transport Protocol)
weixin_34062329的博客
08-13 818
2019独角兽企业重金招聘Python工程师标准>>> ...
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
计算机网络小知识点
宇之日记
10-27 580
1.htonl将主机数转换成无符号长整型的网络字节顺序。本函数将一个32位数从主机字节顺序转换成网络字节顺序。
工控安全-S7协议
qq_45927819的博客
12-20 7332
1、client与server通过socket建立连接,过程是标准的TCP连接方式,这一步完成连接的建立2、client发送COTP,请求连接PLC,报文中包含CR Connect Request和Destination TSAP,从而标识出CPU的机架号和槽号3、PLC返回COTP,确认连接,报文中包含CC Connect Confirm,此时server已经明确client与哪个CPU进行通讯。
工控协议 S7comm-Plus 用 wireshark 打开
Reality
10-19 1547
近期用到S7comm-Plus协议,用wirshark打开时显示为cotp
S7协议抓包分析(附pcap数据包)
悦分享
12-06 6205
S7comm(S7 通信)是西门子专有协议,可在西门子 S7-300/400 系列的可编程逻辑控制器 (PLC) 之间运行。它用于 PLC 编程、PLC 之间的数据交换、从 SCADA(监控和数据采集)系统访问 PLC 数据以及诊断目的。S7comm 数据作为 COTP 数据包的有效载荷出现,第一个字节总是 0x32 作为协议标识符。要建立与 S7 PLC 的连接,有 3 个步骤:步骤 1:使用 PLC/CP 的 IP 地址。步骤 2:用作两个字节长度的目标 TSAP。目标 TSAP 的第一个字节编码通信类
ppp协议数据抓包分析_MES、SCADA下的数据采集—西门子S7comm协议分析
weixin_39837105的博客
11-10 564
本文转载自安全客大家好,我是小智,智能制造之家号主~由于工业控制领域协议众多,大家在做MES或者SCADA项目的时候,总会因为各种各样的协议感到头疼,上次我们介绍了Modbus,串口通信等(下面的链接仅在微信公众号有效)Modubs 的RTU、ASCII、TCP傻傻搞不清楚?这将是你见过的最全面分析浅谈 MES、SCADA、PLC项目中的串口通信(232,485,422)及常见问题MES下的数据采...
CTF工控安全.pdf
02-26
CTF工控安全.pdf
一道MMS工控协议CTF题的WriteUp-附件资源
03-02
一道MMS工控协议CTF题的WriteUp-附件资源
工控协议-s7通讯协议
chenfeng857的博客
06-11 5075
工控协议——S7通讯协议 S7协议简介 2. TPKT协议 3.COTP协议 S7通信支持两种方式 S7comm协议 S7comm的结构主要分为三部分: Header: S7协议简介 S7以太网协议本身也是TCP/IP协议簇的一员,S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义,S7comm的协议栈修改程度更高,在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输 S7协议与TCP/IP其中的对应关系: 备注:这里的S7模型并不是说S7是独立于T
工控协议——S7通讯协议
热门推荐
咸鱼!!!
02-18 2万+
工控协议——S7通讯协议S7协议简介2. TPKT协议3.COTP协议 S7协议简介 S7以太网协议本身也是TCP/IP协议簇的一员,S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义,S7comm的协议栈修改程度更高,在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输 S7协议与TCP/IP其中的对应关系: ISO-OSI参考模型...
【S7协议解析】
天风的人工智能博客
11-24 839
其中,第1~4层会由计算机自己完成(底层驱动程序);第5层TPKT,应用程数据传输协议,介于TCP和COTP协议之间;这是一个传输服务协议,主要用来在COTP和TCP之间建立桥梁;第6层COTP,COTP 是 OSI 7层协议定义的位于TCP之上的协议。COTP 以“Packet”为基本单位来传输数据,这样接收方会得到与发送方具有相同边界的数据;第7层,S7 communication,这一层和用户数据相关,对PLC数据的读取报文在这里完成;
IEC60870-104报文解析 —— 利用Wireshark对报文逐字节进行解析详细解析IEC60870-104附含模拟器以及pcap包 阅
weixin_38843284的博客
11-17 2003
https://www.cnblogs.com/Db2k/p/12935966.html
WireShark抓包及常用协议分析
weixin_68281676的博客
08-19 7138
WireShark抓包及常用协议分析
Wireshark-----抓包分析
HakuMaster的博客
07-13 1万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
工控CTF协议分析1——Modbus
一个普普通通的博客
12-20 5663
工控CTF协议分析1——Modbus
ctf理论题库及答案
最新发布
09-07
CTF(Capture The Flag)是一种网络安全竞赛形式,参赛者需要在规定时间内解决一系列与网络安全相关的题目,其中包括理论题。CTF理论题库及答案是指整理和收集的一套关于CTF理论知识的题目和对应的答案。这些理论题目涵盖了网络安全的各个方面,包括密码学、漏洞利用、逆向工程等。 CTF理论题库及答案的作用主要有以下几个方面: 1. 学习和巩固知识:通过解答理论题,参赛者可以加深对网络安全相关知识的理解和掌握,提高自己的技能水平。 2. 检验和评估能力:理论题目考察参赛者对网络安全概念、原理和技术的了解程度,可以帮助自我评估并发现自己的知识盲点。 3. 提供技术参考:对于初学者来说,理论题目及其答案可以作为技术学习的参考资料,帮助他们快速入门和了解网络安全领域的基础知识。 CTF理论题库及答案的来源多样,可以包括CTF比赛中的实际考题、网络安全相关书籍和教育机构的课程内容。参赛者可以通过搜索CTF相关的论坛、网站和资源库,获取题目和答案。同时,他们也可以自己整理和归纳相关的理论知识,逐步构建自己的题库。 在使用CTF理论题库及答案时,参赛者需要注意以下几点: 1. 真实性和准确性:确保所使用的题目和答案来源可靠,避免因错误或过时的信息导致学习误导。 2. 独立思考:理论题目的目的是帮助参赛者理解并掌握知识,而不仅仅是记住答案。参赛者应该在解答前先尝试独立思考,并在需要时查阅答案。 3. 分享和交流:CTF理论题库及答案是开放共享的资源,参赛者可以将自己整理的题目和答案分享给其他人,促进互联网安全知识的传播和交流。 总之,CTF理论题库及答案是一项重要的网络安全学习和竞赛资源,可以帮助参赛者学习和巩固知识,检验和评估自己的能力,并为初学者提供技术参考。只要正确使用并结合实际情况,它将对网络安全人才的培养和发展起到积极的促进作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值