攻防世界 xctf 工控安全取证 writeup

最新推荐文章于 2024-01-13 13:15:42 发布
原创 最新推荐文章于 2024-01-13 13:15:42 发布 · 4.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了黑客入侵工控设备后的扫描行为,通过Wireshark解析日志,识别出第4次扫描的数据包编号为155990,采用ICMP协议流量作为分析依据。

题目:

有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}

1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng

2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。

开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:

想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。

于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:

那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}

发现是对的,纯粹运气啊,我也不知道为啥。

XCTF:3-1[WriteUP]
如有错误感谢斧正
02-04 774
在多个数据包里发现了flag.rar、flag.txt等文件。接下来尝试把我们上面拿到的base64代码放进程序里进行解密。回到开头拿到的flag.rar文件,使用密码对其进行解压。先对开头从TCP流中获取到的base64代码尝试进行解码。找到之前搜索flag,找到flag.txt字样的数据包。仔细分析该TCP流,发现了一串不知名的base64代码。使用wireshark打开,直接搜索flag字样。里面虽然有flag.txt,但是我们没有密码。原理我们不需要清楚,我们只要使用就可以了。
XCTF_easyapk的WriteUp
windy_ll的博客
03-03 291
XCTF_easyapk的WriteUp一、题目来源二、破解思路三、总结 一、题目来源     来源:XCTF社区安卓题目easy_apk 二、破解思路     1、首先运行一下给的apk,发现就一个输入框和一个按钮,随便点击一下,发现弹出Toast验证失败。如下图所示:     2、将该APK直接拖进AndroidKiller中反编译,搜索关键字验证失败,如下图所示:     3、关键代码...
XCTF攻防世界misc难度一所有整合wp
07-19
做题过程pdf
记某工控CTF比赛一道ICMP隧道题
shutdown -s -t
08-15 3378
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。 数据包如图: 当时的考量: 响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。 考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。 两个通信IP没有什么有用信息。 考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...
攻防世界 工控安全取证
m0_48452251的博客
10-27 352
过程步骤啥的已经有大佬分析了,我就发表一下个人见解,为什么结果是 155989 这其中牵扯到ip地址的问题,感兴趣的小伙伴可以去百度一下,IP地址,我简单说一下,在ip地址中,192开头为c类地址,在不考虑超网的情况下,一个网段的开头(也就是1)和结尾(也就是254)一般是分给网关或其他特殊网络设备的,所以将其去掉,两个199,按时间,先来的是155989,因此答案是这个。 个人见解,请大佬指点 ...
xctf攻防世界 CRYPTO高手进阶区 工控安全取证
l8947943的博客
02-24 1161
0x01. 进入环境,下载附件 题目给的是一个日志文件,放入kali中查看文件类型: file capture.log 可以看到,该文件是一个pcapng流量包文件,如图: 0x02. 问题分析 将文件的后缀修改为pcapng,用wireshark打开,发现是一堆tcp链接和少量的ICMP链接。题目提示是对端口进行多次扫描,扫描端口一般是利用ICMP回显请求,那么我们对icmp进行排序,如图: 我们可以看到,题目让找到第四次的扫描编号,如图,对流量进行分析 ICMP请求第一组编号有发出也有回显正常的
XCTF攻防世界misc难度一所有整合w
最新发布
09-18
攻防世界XCTF推出的一项竞赛,其中misc类别是一个非常重要的部分,它涵盖了信息学、密码学、逆向工程、取证分析等多个方面的知识点。misc难度一所有整合wp即是指针对攻防世界中misc类别入门级别(难度一)的所有...
攻防世界XCTF—web入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 1235
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
xctf攻防世界game writeup
qq_42983283的博客
11-04 409
下载,查看: 载入ida,f5分析,发现sub_457AB4那里很可能是答案: void main_0() { signed int i; // [esp+DCh] [ebp-20h] int v1; // [esp+F4h] [ebp-8h] sub_45A7BE(&unk_50B110); sub_45A7BE(&unk_50B158); sub_45A7BE(&unk_50B1A0); sub_45A7BE(&unk_50B1E8..
XCTF-攻防世界-密码学crypto-新手练习区-writeup
热门推荐
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
工控安全-火电行业攻防平台建设方案
05-18
工业控制系统网络安全事关工业生产运行、国家经济安全和人民生命财产安全。数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、 交通、水利以及市政等领域,用于控制生产设备的运行。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制系统信息安全问题日益突出。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
攻防世界 Crypto高手进阶区 4分题 工控安全取证
闵行小鱼塘
12-21 1360
继续ctf的旅程,攻防世界Crypto高手进阶区的4分题,本篇是工控安全取证writeup
工控安全取证
sinat_31884905的博客
03-20 493
下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng 然后扔进wireshark 得到一大堆tcp 注意到少量ICMP 发起扫描多半先一个ICMP 然后一堆TCP 所以看看ICMP 他要求第四次 那应该是在155987到155990 最终发现IP为192.168.0.199的ICMP的Ping请求对应的数据包编号155989为Flag ...
XCTF bug writeup
stepone4ward的博客
07-14 1507
文件上传绕过
XCTF:就在其中[WriteUP]
如有错误感谢斧正
01-13 834
Ctrl+A全选、Ctrl+C复制,保存到一个空白的pri.key文件中。先使用binwalk查找该pcapng文件中key.txt的位置。这里要注意,echo后面要跟上一对单引号,把私钥内容括起来。绿框内是传输的所有文件,但这里主要分析怎样拿到flag。还出现了一个pub.key公钥,那应该就有对应的私钥。key.txt应该是经过了公钥加密(rsa加密算法)在第14个TCP流中,找到了pub.key的内容。再次切换流,不多时就找到了私钥pri.key。查看out.txt中的内容就拿到flag了。
XCTF新手练习区 writeup
Mitchell_Donovan的博客
12-20 965
目录 第一题.view_source 第二题.robots 第三题.backup 第四题.cookie 第五题.disabled_button 第六题.weak_auth 第七题.simple_php 第一题.view_source 原题链接 key:查看网页源代码 查看网页源代码的几种途径: ①ctrl+U ②F12 ③在地址前面加上view-source后再访问 ④设置->更多工具->开发者工具 第二题.robots 原题链接 key:查看robot.
XCTF(攻防世界)—进阶web题Write Up(一)
Lemon's blog
08-20 1937
前言:这段时间做了一些XCTF的web进阶题,真的是学习到了很多知识,就来总结一下。 Cat 一开始以为是命令注入,恰好最近学习了命令注入,就先来测试一下: 输入127.0.0.1,发现是可以ping通的 输入127.0.0.1 | phpinfo() 或127.0.0.1 & net user就会显示: Invalid URL 看来命令注入的方法是行不通的(其他连接符也被过滤了,如...
xctf攻防世界—Web新手练习区 writeup
weixin_53857391的博客
12-22 424
#项目场景:view_source 难度系数:1.0 题目来源: Cyberpeace-n3k0 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了题目场景: http://220.249.52.134:32583 问题描述: 提示:进入页面后显示:“FLAG is not here”,鼠标右键菜单栏不能正常触发 解决方案: 提示:通过在题目地址前添加**view-source:**访问网页源码,得到如下所示: <!DOCTYPE html> <
XCTF】 Web进阶区部分 WriteUp(一)
野原新之助
10-24 929
文章目录1、unserialize32、Web_php_unserialize3、supersqli(随便注)分析方法一:修改表结构方法二:预处理4、warmup5、web2 终于搭建了自己的网站,已经初具形态,之后大部分博文都会发布在自己的网站上,少量会同步在优快云,小伙伴们可以去那里看我的一些学习分享呦???? (最近在申请备案,因此网站暂时无法访问……) 传送门:https://www.yyxzz.net 1、unserialize3 题目是一段php代码,是反序列化题目,需要将序列化结果通
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值