协议分析
流量分析
主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门
常见的工控协议有:Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等
由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定
CTF之协议分析文章合集
工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg
IEC60870
- 子协议
- IEC101(任务相关)
- IEC102(电量相关)
- IEC103(保护相关)
- IEC104(101的网络版)
- IECASDU(基于101/104的应用服务数据单元传输)
- 主要技巧
- 筛选
iec60870_asdu - 关注IOA的值
- 可尝试用type进行分类
- 筛选
例题1 HNGK-奇怪的工控协议
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w3GWEErL-1671529464977)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101509327.png)]
(图中应为一半以上涉及modbus)
筛选条件iec60870_104,iec60870_asdu,分别查看IOA的值并看数据书否有异常或奇怪的地方
发现flag
例题2 HNGK-协议分析
发现此题目存在多个连接,按分组筛选iec60870_asdu && tcp.stream == 0
发现有些数据包是报错的,正确的包应该含有IOA的值iec60870_asdu && tcp.stream == 0 && iec60870_asdu.normval
还有五百多条数据,剩下的可以以TypeID为条件筛选,一个一个筛过去
(((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid == 34)发现IOA的值对应的基本都是乱码,或者发现还有三百多条数据判断他是正常的
最后在typeid=9处发现两个等号收尾的以两字节为一组的数据
((((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid != 34)) && (iec60870_asdu.typeid != 9)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ur2BOPfZ-1671529464979)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101614117.gif)]
将其提取出来解base64错误,发现开头mZhx,而flag的base64对应值为Zmxh,猜测是前后颠倒两两一组
得到flag
题目难点在于连接过多,筛选复杂,出题人还算良心第一条连接就有flag,否则还要多次筛选tcp.stream;对于数据敏感性也是难点,再翻数据的时候能发现数据异常或特征;筛选小技巧typeid
