工控CTF之协议分析8——特殊隧道

最新推荐文章于 2024-05-09 04:35:23 发布
最新推荐文章于 2024-05-09 04:35:23 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: CTF刷题 工控 文章标签: 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/128388457
版权

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:ModbusMMSIEC60870MQTT、CoAP、COTP、IEC104、IEC61850、S7commOMRON

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

特殊隧道

基于各类数据传输协议数据传输功能实现的数据传输都可以称为隧道

实际上因为协议层层嵌套的关系,任何协议都可以算是基于其底层协议的隧道

如 基于TCP的隧道、基于UDP的隧道、基于ICMP的隧道
这种类型的题可能比较杂而且比较综合

例题1 2022HMGK-being_hacked

先看协议分级,没有特殊的协议,那就逐步分析

image-20221220145651445

先看dns,发现都是一些很正常的域名请求,最后有一个arp,但是也没有异常点

http请求也是一个很正常的

image-20221220151109516

最后来看ICMP

发现都是ping请求,传输的数据也都是字母表,只不过长度不同,这是不正常的,ping的时候发包长度默认32字节

发现数据长度都是100左右以及50左右的数字,联想到ascii码表

image-20221220151409746

都是两条相同的数据,请求和返回,先筛选出一半来

(icmp) && (ip.src == 192.168.233.1)

提取数据长度,得到顺序错误的flag

image-20221220151948932

重回流量包中,发现seq可能是排序

image-20221220152034303

将seq作为一列,对数据排序

image-20221220152501247

重新写脚本提取

image-20221220153425705

例题2 2021CISC兰州站—DNS

偏脑洞

发现查询0.1.1.1返回的数据中有奇怪的域名,一串加密后的字符加上.1.com,很明显这是不正常的

image-20221220154106157

再往后有看到,查询1.1.1.1,2.1.1.1,3.1.1.1等等,返回的结果也都是这种很奇怪的域名先将其筛选出来

(dns) && (dns.resp.name contains ".1.1.1.in-addr.arpa")

image-20221220154258164

提取数据并尝试解码

image-20221220160022796

得到一串看似规则的乱码

各种尝试之后,想到汇编,这个实际上是一个可执行的shellcode

image-20221220160405055

忙活半天是一个假的flagimage-20221220160612382

往后接着找,因为他其实有多个PUSH

image-20221220160731266

Shadow丶S
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
记某CTF比赛一道ICMP隧道
shutdown -s -t
08-15 2959
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。 数据包如图: 当时的考量: 响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。 考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。 两个通信IP没有什么有用信息。 考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...
CTF协议分析学习题目合集
12-20
主页CTF学习配套题目,搭配学习
安全:CTF赛前小知识[转]
KEY0NE的个人博客
11-09 1845
比赛考察点采用 CTF 分类模型,总结分析当前 ICS 比赛中的关键点比赛类型考察点与 CTF 异同内网渗透Web 端渗透测试、CMS 系统、发布展示系统、数据库系统与 Web 渗透相关逆向分析固件分析软件逆向实际场景逆向协议流量分析、Misc 类Misc 流量分析场景流量特征编程PLC 组态、HMI 组态、RTU 组态等实...
最新CTF业互联网(ISC)复现总结WP(超详细)_ctf(1),字节大牛教你手撕网络安全学习
最新发布
m0_54903333的博客
05-09 1218
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全作,问题不大。对于有1-3年作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
DNS隧道流量分析
蚁景网安学院
06-01 1046
选择哪家的云都没问题,国内云需要实名,不建议使用,这里我选择的TX云,因为之前注册过了,自己拿来做个流量分析不成问题。
CTF协议分析2——MMS
一个普普通通的博客
12-20 2393
CTF协议分析2——MMS
CTF具使用汇总
qq_47804678的博客
12-20 4526
做题很多的时候都会用到具,我现在也来简单汇总一下我现在用到过的具,很多都可以在github或者CTFHUB上直接下载到。
NSSCTF之Misc篇刷题记录(17)
Aluxian_的博客
09-19 536
Misc刷题记录【nssctf
ctf
qq_45951598的博客
10-29 7676
文章目录黑客的大意 黑客的大意 下载后得到mail,在文件后面jpg 打开图片是一个这样的图片, 这里我们根据题目的意思: 黑客在入侵后不小心留下了这样一个文件,请分析文件进行溯源,找到黑客的邮箱。flag格式为flag{邮箱账号} 这里的主要关键词是对文件进行溯源,以及flag格式为邮箱账号 然后我们看文件有什么特征,然后发现下面有一句英文 ...
CTF安全.pdf
02-26
CTF安全.pdf
一道MMS协议CTF题的WriteUp-附件资源
03-02
一道MMS协议CTF题的WriteUp-附件资源
CTF图像隐写分析具Windows版 stegdetect.exe
12-25
stegdetect是一种数字图像隐写分析具,主要实现JPEG图像的隐秘信息的嵌入的检测,支持检测JSteg、Outguess、Jphide、InvisibleSecrets。github上的源码难以编译,在此分享的是编译好的exe。
CTF协议分析7——OMRON
一个普普通通的博客
12-20 2136
CTF协议分析7——OMRON
CTFHub 现场的恶意扫描 WP
qq_61993117的博客
09-02 272
现场的恶意扫描wp
使用DNS2TCP搭建DNS隧道,绕过网络认证,实现免验证上网
热门推荐
Deng's Blog
03-27 2万+
本文主要介绍利用 DNS 查询流量来封装 TCP 流量 , 达到绕过防火墙的目的,搭建DNS隧道,绕过网络认证,实现上网。
wirehark数据分析与取证hack.pcapng
Aluxian_的博客
09-26 3767
wiresharekhack.pcapng数据包数据包下载 请私信博主。
缓冲区溢出利用的简单例子
malixxx
08-27 758
缓冲区溢出利用的简单例子 gcc从版本4以后就已经加上了缓冲区溢出攻 击的保护机制(这个以后再讲),所以在gcc的4版本以上进行实验的读者,可以在编译时加上-fno-stack-protector选项来关闭缓冲区溢 -fno-stack-protector这个编译的时候可以不加. 出保护。当然,也可以在更低版本的gcc中实现。 可能每一次gdb调试,分配给程序的虚拟地址空间都...
流量分析CTF
weixin_46595570的博客
01-13 4914
题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式
2021CTF业信息安全技能大赛(常州站)-流量分析
qq_43264813的博客
08-03 1518
2021CTF业信息安全技能大赛(常州站)-流量分析 题目内容:黑客通过渗透进入了生产制区域,并对生产制系统的通讯进行了破坏, 请对现场的通信流量进行分析,找到其中隐藏的 flag。提交格式: flag{xxx}。 解题步骤: 1.使用科来分析流量包,在websocket 流量中发现两个尾部与其他数据包明显不同的包,编号分别为12056 和 12102 FLAG flag{3229161d9fab4d3364e6e7c7bdb5fb72} ...
ctf中mms协议分析题hngk
07-30
hngk是CTF (Capture The Flag)比赛中关于MMS(Multimedia Messaging Service)协议分析的题目。 MMS协议是一种用于在移动设备之间传输多媒体信息的协议。要解决这个hngk问题,我们需要先了解MMS协议的基本结构和特点。 MMS协议包括多个消息体,每个消息体都带有特定的头部和正文。在分析hngk题目时,我们需要检查MMS消息包的头部和正文,以确定其中所包含的信息。 首先,我们需要对MMS消息包进行解析,查看头部的字段信息。头部中通常包含了发送者和接收者的信息、消息的类型、MMS版本、时间戳等。通过分析头部信息,我们可以确定MMS消息的基本属性。 接下来,我们需要查看MMS消息包的正文内容。正文可以是文本、图片、音频、视频等多种媒体类型。我们需要仔细研究正文中的各个部分,以确定是否存在隐藏的信息。在hngk题目中,可能会有一些隐藏的命令、密码或者其他关键信息,通过分析正文内容,我们可以找到这些隐藏信息。 同时,我们还需要分析MMS消息包的编码方式。MMS消息可以使用多种编码方式进行数据传输,如Binary、Base64等。根据题目要求,我们可能需要对这些编码方式进行解码,以得到真正的数据。 总结来说,解决hngk问题需要对MMS协议的消息包进行逐层分析,包括头部字段、正文内容和编码方式。通过仔细研究这些信息,我们可以找到隐藏的命令或密码,从而解决这个题目。在这个过程中,需要运用MMS协议的相关知识和分析技巧。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值