2023工业信息安全技能大赛—钢铁锦标赛 WriteUp

最新推荐文章于 2024-08-12 11:55:09 发布
最新推荐文章于 2024-08-12 11:55:09 发布
阅读量291 收藏 7
点赞数 5
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgf42421/article/details/140810077
版权

04.异常的交互流量

tshark -r 8.pcap -Y "modbus.func_code ==03 and ip.dst==172.16.236.128" -T fields -e modbus.regval_uint16 > data.txt

Register 7中的值为0 正常不应该为0

05.easy_vm


ops = [1, 1, 0, 1, 2, 0, 2, 1, 5, 5, 1, 3, 0, 3, 8, 4, 1, 4, 0, 2, 2, 1, 6, 20, 7, 3, 8, 0, 0, 0, 0];
box = 'sundosnapxnsodkshgds'

print(f'''.data
    box db '{box}', 0
''')
print('main proc')


ar = [1, 2, 3, 4, 5, 6]
enc = [None] * 14


printa = lambda x: print('    ' + x)
def mov():
    ops_ori = [*ops]
    op = ops.pop(0)
    if op == 2:
        printa('lea rax, [box + rcx]')
    elif op == 3:
        printa('lea  rbx, [input + ecx]')
    elif op == 4:
        printa('mov byte ptr [enc + rcx], rax')
    elif op == 1:
        val = ops[0]
        printa(f'mov rcx, {val}')
    else:
        printa(ops)
        raise "ERROR, mov"
    ops.pop(0)


def add():
    v1 = ops.pop(0)
    v2 = ops.pop(0)

    if v1 == 1:
        printa(f'lea rax, [rax+{v2}]')
    elif v1 == 2:
        printa(f'lea rcx, [rcx+{v2}]')


def sub():
    t = ops.pop(0)
    printa(f'lea rbx, [rbx-{t}]')


def xor():
    printa(f'xor rax,rbx')


def jl():
    rip = ops.pop(0)
    printa('jle __start')


def cmp():
    rip = ops.pop(0)
    printa(f'cmp {rip},rcx')


def not1():
    printa(f'not ax')


def foo():
    v2 = 0
    op = ops.pop(0)
    match op:
        case 1:
            mov()
        case 2:
            add()
        case 3:
            sub()
        case 4:
            xor()
        case 5:
            not1()
        case 6:
            cmp()
        case 7:
            jl()
        case 8:
            v2 = 1
        case _:
            v2 = 1
    return v2


while not foo():
    pass

print('main endp')
print('end main')
print()
print()
print()

得到

.data
    box db 'sundosnapxnsodkshgds', 0

main proc
    mov rcx, 0
    lea rax, [box + rcx]
    lea rax, [rax+5]
    not ax
    lea  rbx, [input + ecx]
    lea rbx, [rbx-8]
    xor rax,rbx
    mov byte ptr [enc + rcx], rax
    lea rcx, [rcx+1]
    cmp 20,rcx
    jle __start
main endp
end main

大概看一下。写个脚本解密

box = b'sundosnapxnsodkshgds'
enc = [0xD9, 0xE1, 0xD5, 0xC9, 0xF8, 0xB8, 0xD5, 0xFD, 0xD3, 0xF2, 0xFD, 0xD0, 0xB6, 0xCF, 0xE4, 0xF6, 0x8B, 0xDD, 0xD3, 0xF2];

l = len(enc)
# enc[i] = ~(box[i] + 5) ^ (input[i] - 8)
for i in range(l):
    xff_ = ~(box[i] + 5) & 0xff
    print(chr((enc[i] ^ xff_) + 8), end='')
# flag{Galaxy_Easy!VM}

07.reverse_mips

两次输入

BOOL __fastcall rc2(int a1)
{
  BOOL result; // $v0
  int i; // [sp+1Ch] [+1Ch]

  for ( i = 0; ; ++i )
  {
    result = i < a1;
    if ( i >= a1 )
      break;
    enc1[i] = *((_BYTE *)&Str + i) ^ rc1();
  }
  return result;
}

// rc4 小改取值。
int rc1()
{
  char tmp; // [sp+7h] [+7h]
  int i; // [sp+8h] [+8h]
  int v3; // [sp+Ch] [+Ch]
  int j; // [sp+10h] [+10h]
  int x; // [sp+14h] [+14h]
  unsigned int y; // [sp+18h] [+18h]

  if ( !Gi )
  {
    for ( i = 0; i < 256; ++i )
      SBox[i] = i;
    LOBYTE(v3) = key[K];
    if ( ++K >= 16 )
      K = 0;
    for ( j = 0; j < 256; ++j )
    {
      v3 = (unsigned __int8)(109 * v3 + 57);
      tmp = SBox[j];
      SBox[j] = SBox[v3];
      SBox[v3] = tmp;
    }
  }
  Gi = (Gi + 1) % 256;
  x = SBox[Gi];
  y = SBox[(unsigned __int8)(Gi + x)];
  return (unsigned __int8)(16 * (HIBYTE(x) ^ HIBYTE(y))) | (unsigned __int8)((x ^ y) >> 4);
}

拿到每一轮的rc1()返回值和enc1 进行异或 得到第一部分。

然后第一次输入的值和第二部分 enc2 进行异或得到第二部分。

"""
.text:00400930  # 25:   x = SBox[RCDATA];
.text:00400930 lui     $v0, 0x4A  # 'J'
.text:00400934 lw      $v1, Gi
.text:00400938 li      $v0, SBox
.text:00400940 addu    $v0, $v1, $v0
.text:00400944 lb      $v0, 0($v0) # 这里有个坑,有符号数操作赋值, 比如 0xA0 变为 0xFFFFFF00 | 0xA0 =  0xFFFFFFA0, 容易踩坑
.text:00400948 sw      $v0, 0x24+x($fp)
"""


def uint(x):
    if x > 0x80:
        return x | 0xffffff00
    return x


def crypt(data, key):
    n = 0
    box = list(range(256))
    v3 = key[n % 16]
    n += 1
    for i in range(256):
        v3 = (109 * v3 + 57) & 0xff
        x = v3
        box[i], box[x] = box[x], box[i]

    Gi = 1
    for i in range(16):
        x = box[Gi]
        y = box[Gi + x]
        x = uint(x)
        y = uint(y)
        v = x ^ y
        v = (v << 4 | v >> 4) & 0xff
        print(f'0x{v:02x},', end='')
        Gi = (Gi + 1) % 256


stdata = ''
key = bytearray([0x79, 0x8B, 0xD8, 0xBA, 0x2C, 0x0E, 0x18, 0xD4, 0xE8, 0xB0, 0x38, 0x0A, 0xC6, 0x95, 0x71, 0xF2])

result = crypt(data=stdata, key=key)
# 0xf0,0xf8,0x50,0x40,0x11,0xa4,0xf8,0x81,0x56,0xe5,0xd0,0x41,0x95,0xc5,0xf8,0xf8

# 不补符号位错误值为  [0xf0, 0x28, 0x50, 0x40, 0x11, 0xa4, 0x78, 0x81, 0x56, 0xe5, 0xd0, 0x41, 0x95, 0xc5, 0xf8, 0xe8] 解出 flag 为 f'ag{J.stEncIt!m 还是能拼出来正确的flag的

e1 = [0xf0, 0xf8, 0x50, 0x40, 0x11, 0xa4, 0xf8, 0x81, 0x56, 0xe5, 0xd0, 0x41, 0x95, 0xc5, 0xf8, 0xf8]
r1 = bytes.fromhex('B782123464EE91B40CD5B72DCCB2B68E')
for a, b in zip(e1, r1):
    print(chr(a ^ b), end='')
print()

# GzBtuJi5Z0glYwNv
key1 = b'GzBtuJi5Z0glYwNv'
r2 = bytes.fromhex('211623130E001C462E75090F10036F0B')

for a, b in zip(key1, r2):
    print(chr(a ^ b), end='')
# flag{JustEncIt!}

08.ropmaster

"""
input[x] ^= 0x53u;
input[x] += 17;
input[x] = cip[x]
"""
cip = bytes.fromhex('46504345397C7576487B7341418F434678738F774176488F424373428F71467C737B7643487477417C3F')

for i, ch in enumerate(cip):
    print(chr((ch - 17) ^ 0x53), end='')

09.simeple_re

box = b'SRzLZlKvlYHJqBqASzSqNgGXTGcKXoDe'
box = bytes.fromhex('0D542D7D7B5A7D656659517E7D42214B687F60694175')
keys = """ 040A223A0E0B063C2A302E06060E04331935291E1A32
23273523111A381E3F031D082B3B28240A0E3C023620
211B2F000F3E2337161F0B12353B3D233E1010202600
271A09250E343A1B2D0F2C3D3313100516373A180B14
11050B001B04380209290D031E210216180C38260135
3610321C390D1C3827030C0D150E15073E361B000F10
1B040B222B2606323B1B070121233D34010C32291813
1C102D36161929311614032833282B371C111F39010E
061A29260C153D061B3C113D360D382E272E09372C3E
3D3023290C0724102912380121160805261C3F23390F
17261D29330902102E130C3D32263A3336192B100A0D
311C1E393503251A091D0C2529151F08042018021C28
30181B16312224183C0D0B033A28162A1D0E323B3425
141539280E2929303F321C2E262D14140A3D31282105
073A1B2232382305292A0538252E1D31302A0721183D
3F10110D281F07221E1C2206022E063710141132000E
6B384C1A00081333362F3B2B04314578290811071908
311F1C3B2308121D2B3412011A083322262E173D0501
1139152E1F0F0901011E3A3F2029350F3A0C0237201F
"""
for key in keys.strip().splitlines():
    enc = bytes.fromhex(key)
    s = ''
    for i, c in enumerate(enc):
        values = chr(c ^ box[i])
        s += values
    print(s)
    if s.startswith('flag'):
        print(key)
        exit(0)
        #  '6B384C1A00081333362F3B2B04314578290811071908'

"""
Looking for GNU DWARF file at "/usr/lib/debug/.build-id/e9/9d68f49ba574430a41fb8c0e12b9375cac49e8.debug"... no.
8j6VZdXEZvsaus49zrBvWo
Welcome peskyPup8
Checking safebox.....
Flag is : flag{RnVPvjUysd3AwqnX}
"""

key = bytes.fromhex('6B384C1A00081333362F3B2B04314578290811071908')
print('key' + key.decode())

box = b'SRzLZlKvlYHJqBqASzSqNgGXTGcKXoDe'


print(box)
for a, b in zip(key, box):
    print(chr(a ^ b), end='')

赛题三

分别导出各类数据, 4693 返回数据长度不对

10.控制程序修复

找到备注“控制炼钢工艺模拟量”

11.工业现场的应急处置

进程中 shell.exe 较为可疑, 用户名中 test$可疑, 尝试组合后去掉$提交成 功 flag{"shell.exe"/"test"}

wgf42421
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF真题
07-14
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF真题
2023年四川省网络与信息安全技能大赛 决赛个人赛Writeup
末初的CSDN博客
10-31 2012
2023年四川省网络与信息安全技能大赛 决赛个人赛Writeup
2023年四川省网络与信息安全技能大赛初赛 团队赛 Writeup
末初的CSDN博客
10-18 2293
2023年四川省网络与信息安全技能大赛初赛 团队赛 Writeup
2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup
末初的CSDN博客
10-18 1162
2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup
2023年中国工业互联网安全大赛决赛-靶场环节Writeup
末初的CSDN博客
07-06 3170
这种长度很明显的嫌疑最大,点击一看是PNG头,但是该字段从第12个字节位置开始才是png数据,其中第9、第10个字节是计数位,不过这里并不是打乱发的,所以不用考虑排序问题。,首先猜测是盲水印,但是经过测试不是盲水印,后面发现是两张图异或。两部分flag,从udp流中分析可知有两部分,第二部分数据是png数据,第一部分是txt。提取出来的png要比原图大一点,盲水印尝试了不对,异或时发现疑似flag。然后根据前面给的加密逻辑,写解密脚本,加密算法是。是视频文件,使用分离工具,这里用。
工业信息安全技能大赛新职业技能锦标赛(保定‘电谷杯‘总决赛)——金盾先锋战队web部分writeup
qq_44611153的博客
05-17 474
根据漏洞构造POST请求,但要注意这里是要黑入服务器获取flag而不是查看PHP信息,上传内容这里改为一句话木马:
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
2018全国大学生信息安全竞赛web题出题docker+writeup.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
2024年江苏省信息安全评估与管理省赛样题(内含一阶段writeup)
01-10
2024年江苏省信息安全评估与管理省赛样题(内含一阶段writeup)2024年江苏省信息安全评估与管理省赛样题(内涵d一阶段writeup) 2024年江苏省信息安全评估与管理省赛样题(内涵d一阶段writeup) 2024年江苏省信息安全评估...
大模型微调工具-torchtune
weixin_40777649的博客
08-08 994
1.定义2.安装3. 案例。
NVIDIA-CUDA
qq_41081716的博客
08-08 440
CUDA 是一种强大的并行计算平台,它极大地扩展了 GPU 的用途,使其不仅仅局限于图形处理。通过利用 CUDA,开发人员可以编写高效、高性能的并行应用程序,这些应用程序可以用于各种计算密集型任务。如果您正在从事高性能计算或需要加速计算任务的工作,CUDA 是一个非常有用的工具。
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 636
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
python语言程序设计》2018版第6章第42题Turtle:绘制sin函数,使用程序清单6-14中的函数简化5.52代码
电饭叔
08-10 275
在output06th.py中的代码。
【最长递增子序列】python刷题记录
m0_73629042的博客
08-08 382
R4-dp。
leetcode:1822. 数组元素积的符号(python3解法)
qq_41905051的博客
08-09 386
leetcode:1822. 数组元素积的符号(python3解法)
python:range和xrange的区别
sheji888的专栏
08-09 384
Python中,range()和xrange()函数在早期的Python版本(Python 2)中扮演着不同的角色,但在Python 3中,xrange()已经被移除,并被range()取代。下面分别解释这两个函数在Python 2中的区别和Python 3中的变化。
Python知识】m.inplace = inplace 《==》是否执行原地操作
2301_77549977的博客
08-07 145
属性是一个布尔值,用于指示某个操作是否可以以原地(in-place)模式执行。原地操作意味着操作会直接修改输入张量的值,而不是创建一个新的张量来存储结果。这种方式可以减少内存使用,因为它避免了为输出结果分配额外的内存空间。# 如果激活层模块有 inplace 属性,则设置该属性 if hasattr(m, 'inplace'): m.inplace = inplace inplace 属性是什么?,原地属性允许在不增加额外内存开销的情况下应用激活函数。涉及梯度更新时,原地操作需要谨慎使用。
firefly推理和微调qwen
最新发布
m0_57057282的博客
08-12 104
这里我是将chat.py代码放到component文件夹下了,所以untils,而不是component.utils。在训练中,我们只保存adapter的权重,不保存合并后的模型权重。qwen-7b-sft-qlora.json内如如下。adapter与base model进行权重合并。environment.yml内容如下。train_qlora.py内容如下。6.docker打包conda环境。创建dockerfile。1.conda环境准备。6.合并后的模型推理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值