一、协议分析
协议分析共四道题(全部解出)
1、modbus
提示:黑客通过modbus协议向他的同伙发送了一条秘密信息,通过流量设备我们抓取到了相关的流量包,你能根据流量包找到这条信息么?
TCP流追踪,发现flag特征:
对不要的字符进行过滤,就能得到flag:
2、异常的流量
提示:请对提供的流量进行分析,发现可能存在的异常,找出flag,提交格式:flag{xxx}。
TCP流追踪,发现ASCll编码的数字:
串联起来,进行解码,得到flag:
3、S7Error
提示:某工厂的工程师发现有一台西门子设备存在资源异常,请分析并找出异常流量的数据包编号。
根据题意对流量报中的s7comm协议进行过滤。发现有4个异常的流包。跟文件名的十分关联,使用第一个流量包序号填入,确认就是flag:
4、OmronAttack
提示:某工厂的工程师发现有一台设备存在异常,抓取流量后发现了黑客的端倪,你能协助他分析黑客留下的痕迹吗?
打开数据包发现了存在omron协议,对omron进行过滤:
通过题目意思分析黑客留下的痕迹!我怀疑是存在写的操作。对数据再次过滤:
对包长进行排序,存在异常数据:
通过最后字母,发现两两对换就能变成一个单词:
发现FINS/TCP存在内容:
拼接起来得到a51e47f646375ab6:
使用md5(left)得到rabbit,猜测是rabbit加解密:
使用工具进行解密,key: a51e47f646375ab6
这里比较恶心,用工具不一定解出,需要换各种在线网站或者工具尝试,结果还不一样。
二、组态编程
第二组全是工控类题目。
1、工程的秘密
提示:小李刚入门自动化领域,学习了组态编程技术,他将一段秘密信息放在了组态文件中并把他藏了起来,你能把他找出来么?
用Stegsolve打开图片,保存隐写zip,解压得到cmp文件:
使用KingView打开文件:
交通灯画面中,发现flag:flag{zxb2023@758}:
2、篡改的组态
提示:组态工程文件被黑客篡改,导致程序画面功能出现问题,请协助分析组态程序,修复画面功能至正常。答案为flag{修复画面的脚本命令内容转换成HEX格式的前8位}
使用McgsPro版本组态软件打开:
修复这个按钮对应的脚本,工程恢复正常:
Flag为:修复画面的脚本命令内容转换成HEX格式的前8位。
3、简单的计算
提示:初入自动化的小王被单位的工程师出题,假设FC1块的IN1接口DB1.DBW0数值为900,IN2接口为360,IN3接口为20后,FC块将获取到接口的数据并加以计算最终由OUT接口DB1.DBD6输出结果是什么? flag格式为flag{}。
打开文件发现有一个.ap16的包,使用博途16打开该文件:
将题目中的FC1块的IN1接口DB1.DBW0数值为900带入其中运行仿真程序计算出结果:
将左侧数据填入右侧,开始监控数据,得到OUT接口DB1.DBD6输出结果:
4、交通灯
提示:附件是一个交通信号灯的一些资料,请你分析出当按下启动按钮后,信号灯启动控制过程中,信号灯亮、闪、灭的情况。方向及状态代号如下:东西:EW, 南北:SN, 红灯:R ,绿灯:G ,黄灯:Y, 亮:T ,闪:L 灭:F ,时间:S (1S,2S,3S,4S,5S),交通灯在一个周期内,按红绿黄灯顺序依次找出东西南北红绿黄灯的亮灭情况。如流程:南北红灯亮20S灭,绿灯亮10S闪烁灭,黄灯亮4秒闪烁3秒灭,可写为:SNRT20SF-GT10SF-YT4SL3SF。注:正确答案写成EWXX-XXXX-XXXX-SNXX-XXXX-XXXX为正确的flag。Flag格式为:flag{}
查看附件交通灯.doc发现文件头为AC1024 cad:
转换为pdf后得到信息:
1.根据题目提示按照东西南北,红绿黄顺序逐一写入:
5、有趣的转盘
提示:车间最新设计了一个可转动圆盘设备,并设计控制程序使得转盘由西门子1200系列控制,该设备由一个转盘主体、启动程序按钮和三个限位开关组成;设备初始状态如图所示,当按下启动按钮后程序启动,限位开关1-3分别控制输入点位I0.1-I0.3,当触点与限位开关接触时,对应输入点位通电;启动按钮控制输入点位I0.0;设备转动分为内圈和外圈,转盘以逆时针转动,Q0.0输出点位控制内圈转动,Q0.1控制外圈转动,内圈转动会带动外圈一起转动,外圈转动是与内圈的相对转动(例如外圈内圈均转动90度;,则内圈转动90度;,外圈在内圈带动转动的90度;之外还要再相对于内圈转动90度;也就是总共转动180度;),触点1镶嵌在内圈上与内圈一同转动,触点2镶嵌在外圈上同外圈一同转动,转盘转动一圈所需时间为12s,操作员需要使用启动按钮方可启动程序;现在指定操作员对转盘进行模拟转动测试,操作员需要在转盘停止后按下启动按钮令转盘设备启动,直至转盘设备与图中初始位置相同后方可不再运行(即触点1、2对应如图位置)。flag格式为:10#flag{启动所需长按最短时间_总共按下按钮次数_mw3_设备停止时两个触点与中心连线最大夹角(小于等于180度;)}
仅仅给了模型示意图:
目前我们没解出...有会的希望找大余告知解题方法感谢。
三、应急处置
1、登录日志分析
提示:黑客通过爆破SSH的方式成功入侵了工控服务器,请从日志中分析出攻击者的IP地址,确定成功爆破出登录名/密码的时间,flag即为该时间,如9:36:33。flag提交形式为flag{xxxx}
找到登录恶意IP登录成功时间:
2、设备运行状态分析
提示:操作员打开设备后,发现点击设备运行按钮后,设备不能正常启动,请帮助操作员分析程序,修复其中的问题。flag为导致设备故障的控制点所直接关联的两个子程序名称_按钮控制点名称的组合,例如:flag{[PID_count(SBR6)]_[PRT(SBR19)]_M0.0}。
这道题是有工控工具对应的,但是确实不会.....有两个电厂的小队解出了,还得技术专攻!!
四、恶意程序分析
1、样本分析
提示:某电力系统部门发现来历不明的病毒攻击,样本中包含可疑攻击行为,请对样本协助分析,找到隐藏在攻击代码中的flag。提交格式:flag{xxx}
010打开发现是PE文件,且由python编译:
反编译文件:
Iec104_control中找到flag:
2、恶意的指令
安全公司截获了某个针对电力系统攻击的样本,样本会向指定设备的8个IOA发送控制命令,flag就隐藏在IOA中。提交格式:flag{xxx}
Ida 入口函数中数组转为字符:
五、固件后门分析
一些厂商为方便调试和监测,可能会在产品上保留“后门”,这也为产品带来了较大安全隐患。请对提供的固件进行分析,找出其中可能存在的后门口令。flag即为口令字符串,提交格式:flag{xxx}。
搜索私钥关键字:
找到设置共享密钥函数:
2、固件加密分析
提示:某公司收到勒索邮件,经过分析查验后发现内网中并没有勒索病毒的痕迹,网管小张研究后发现疑似黑客对工控路由器进行了攻击,通过技术手段获取到了路由器固件,请帮助小张分析出固件并且尝试找出被加密的文件,提交格式:flag{xxx}。
这道题我只能给解题思路:
首先binwalk,看到xz后,010去看地址:(原文件有个hqqq,改成hsqs)
获得信息:
要么逆密码,跑起来让他自己解密,要么直接扣flag的解密代码!!
到此就是2023年江西省工控比赛16道题。
发表于 2023-10-29 20:06:25