前言
前段时间省工控被暴打了就想着学习一下工控知识,于是发现了一个很nice的纯工控靶场:纵横网络靶场社区 工控小白在这记录一下(咕了很长一段时间,预计后续还灰咕咕咕
解题记录
Modbus协议
黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{}
考察modbus协议,过滤后发现有个长度最突出的包,进而发现一串可疑字符串得到flag:flag{TheModbusProtocolIsFunny!}
MMS协议分析
工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag形式为 flag{}。
在MMS包下查找一番并没发现什么可疑的信息,然后追踪tcp流发现一张base64编码的图片
base64转图片后即可得到flag:flag{ICS-mms104}
大工UDP协议
在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG,flag形式为 flag{}。
追踪UDP流发现可疑字符串
hex解码得到flag:flag{7FoM2StkhePz}
工控蜜罐日志分析
工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该IP的域名,,flag形式为 flag{}。
虽然不知道怎么才能找到针对西门子私有通信协议扫描最多的IP,但是不难看出来出现最多的IP就是139.162.99.243,于是尝试将其反查域名提交竟然真的是正确的flag:flag{scan-42.security.ipip.net} (蹲个工控大佬?教教这题正解是咋搞的呀~
隐信道数据安全分析
安全分析人员截获间谍发的秘密邮件,该邮件只有一个MP3文件,安全人员怀疑间谍通过某种private的方式将信息传递出去,尝试分析该文件,获取藏在文件中的数据?flag形式为 flag{}。
(震惊!工控竟然还有音频题.jpg
尝试了一番音频隐写无果,最后还是010看看它的文件结构,根据题目关键词 某种private的方式 我们找到 struct MPEG_FRAME mf[] - struct MPEG_HEADER mpeg_hdr - uint32 private_bit ,将其每八个为一组,转十进制再转ASCII码,得到flag:flag{pr1v4t3_bi7}
工控安全取证
有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}
010查看可发现它是个pcap文件,于是我们直接用wireshark打开,很明显可以看出来主要就是 192.168.0.9 在攻击 192.168.0.99 ,然后根据题目我们就先将其按时间显示格式来观察
但由于它这时间都是很接近的,于是我们再根据协议来排发现ICMP协议正好是四次,进而得到数据包的编号为155990(but最后的flag却是flag{155989}
属实也没整太懂,那就附上其他师傅的wp
隐藏的黑客
根据情报得知工控现场发现某SCADA系统被黑客攻破,附件为黑客在目录留下的文件和当时时间段捕获到的一部分流量包,你能根据这些信息分析出蛛丝马迹来么flag形式为 flag{}。
首先我们可以看出在 upload 的文件夹下全是 webshell,然后我们分析流量包也在http流下发现webshell.zip
于是我们将其提取出来…
