攻防世界 xctf 工控安全取证 writeup

最新推荐文章于 2025-05-26 17:40:19 发布
最新推荐文章于 2025-05-26 17:40:19 发布
阅读量4.2k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF # crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dchua123/article/details/105165610
本文分析了黑客入侵工控设备后的扫描行为,通过Wireshark解析日志,识别出第4次扫描的数据包编号为155990,采用ICMP协议流量作为分析依据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目:

有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}

1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng

2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。

开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:

想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。

于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:

那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}

发现是对的,纯粹运气啊,我也不知道为啥。

攻防世界XCTF—web入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 1161
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
xctf攻防世界game writeup
qq_42983283的博客
11-04 391
下载,查看: 载入ida,f5分析,发现sub_457AB4那里很可能是答案: void main_0() { signed int i; // [esp+DCh] [ebp-20h] int v1; // [esp+F4h] [ebp-8h] sub_45A7BE(&unk_50B110); sub_45A7BE(&unk_50B158); sub_45A7BE(&unk_50B1A0); sub_45A7BE(&unk_50B1E8..
工控安全-火电行业攻防平台建设方案
05-18
工业控制系统网络安全事关工业生产运行、国家经济安全和人民生命财产安全。数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、 交通、水利以及市政等领域,用于控制生产设备的运行。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业控制系统信息安全问题日益突出。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
攻防世界 工控安全取证
m0_48452251的博客
10-27 335
过程步骤啥的已经有大佬分析了,我就发表一下个人见解,为什么结果是 155989 这其中牵扯到ip地址的问题,感兴趣的小伙伴可以去百度一下,IP地址,我简单说一下,在ip地址中,192开头为c类地址,在不考虑超网的情况下,一个网段的开头(也就是1)和结尾(也就是254)一般是分给网关或其他特殊网络设备的,所以将其去掉,两个199,按时间,先来的是155989,因此答案是这个。 个人见解,请大佬指点 ...
渗透测试:数十款重要工具介绍,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
05-26 923
ngrep 目前能识别以太网,PPP,SLIP,FDDI,Token Ring和无效接口上的IPv4/6,TCP,UDP,ICMPv4/6,IGMP 和 Raw 协议,可按照常见的数据包窃听工具(如tcpdump和snoop.ngrep)那样去BPF 规则过滤。它包含Snort,Suricata,Bro,OSSEC,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner和许多其他安全工具。Pompem——是一款开源工具,便于搜索自动化的设计,可利用主要数据库的漏洞。
xctf攻防世界 CRYPTO高手进阶区 工控安全取证
l8947943的博客
02-24 1080
0x01. 进入环境,下载附件 题目给的是一个日志文件,放入kali中查看文件类型: file capture.log 可以看到,该文件是一个pcapng流量包文件,如图: 0x02. 问题分析 将文件的后缀修改为pcapng,用wireshark打开,发现是一堆tcp链接和少量的ICMP链接。题目提示是对端口进行多次扫描,扫描端口一般是利用ICMP回显请求,那么我们对icmp进行排序,如图: 我们可以看到,题目让找到第四次的扫描编号,如图,对流量进行分析 ICMP请求第一组编号有发出也有回显正常的
攻防世界 Crypto高手进阶区 4分题 工控安全取证
闵行小鱼塘
12-21 1239
继续ctf的旅程,攻防世界Crypto高手进阶区的4分题,本篇是工控安全取证writeup
工控安全取证
sinat_31884905的博客
03-20 481
下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng 然后扔进wireshark 得到一大堆tcp 注意到少量ICMP 发起扫描多半先一个ICMP 然后一堆TCP 所以看看ICMP 他要求第四次 那应该是在155987到155990 最终发现IP为192.168.0.199的ICMP的Ping请求对应的数据包编号155989为Flag ...
XCTF-攻防世界-密码学crypto-新手练习区-writeup
热门推荐
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
攻防世界XCTF-密码破译入门12题解题报告
m0_70534726的博客
05-14 552
听说你想学习破译密码(crypto)?这可是CTF中最冷门的鸭,你可真是个奇怪的人。还不如学习WEB安全,快去渗透它吧,给个好评哟~如果你坚持要搞crypto,那就来挑战12道新手密码题吧。相信我,你会转去做WEB安全的。如果你硬着皮头,搞到底,你会发现你是没朋友滴,嘿嘿,渗透大法好~ WEB安全攻防入门 作者 ailx10 会员专享¥9.99 去查看​ 攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录,收藏一下哈~ ailx10 969次咨询 4.9 网络安..
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 788
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
计算机密码学程序含大整数、Ntl、Crypto和Ecc、Rsa编程应用
10-28
这是我精心收集和三年来勤劳编程的结果,特别是利用Ntl快速数论算法库实现椭圆曲线的一系列运算,你不得不看。更多内容请登录我的网站[www.zrmcf.cn]金佛软件看看
[纵横网络靶场社区]工控安全取证
末初 · mochu7
09-15 1559
使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap 根据题目描述可以理解为两种意思: 一个IP的第四次扫描 第四个IP的第一次扫描 分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。 第四次扫描的数据包编号是11,提交fla.
[XCTF] crypto 工控安全取证
0of_blog
05-16 610
下载附件,capture.log,直接打开是乱码。既然是流量分析题,那直接拖到wireshark打开。 看到一大堆tcp和少量ICMP 在进行一次连续的tcp之前一般会发一个icmp包过去,把过滤协议设置为icmp 看到一共5个 request replay 请求响应来回 但 192.168.0.1和192.168.0.254可以无视,因为这不太可能是主机发出来的。 第四次攻击,所以就是flag{155989} ...
[bugku] [XCTF] 取证 ext3
0of_blog
05-23 208
下载附件,既然是系统光盘文件,尝试用DiskGenius打开看看里面的内容 文件一团乱,进去看了好像什么都没有。 试一下恢复文件 有东西了,点进去看看 找到flag 看起来是base64,解码得到flag ...
网络攻防--溯源与取证分析实验
qq_64389397的博客
01-07 2941
splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。通过导出http对象,查看http的流量交互对象,可以看到在后面的分组中,主要是与1.php进行流量交互,可以确定1.php就是攻击者上传的shell文件。在日志文件中查找tmp,发现一串URL编码的数据,进行解密,发现黑客通过filename参数向/tmp目录传递了一个sess_car文件。然后就可以查看https协议了。
攻防世界-WEB3-backup
qq_44707433的博客
05-21 595
攻防世界-WEB3-backup题目解题 题目 加载题目场景。 解题 备份的文件名上网查一下就知道是在后面加上==/index.php.bak== 保存利用记事本查看。 这样就成功的找到flag了。
记高校抗“疫”ctf比赛的usb内存取证
weixin_45782963的博客
03-10 1461
题目: ez_mem&usb 附上大赛链接:https://adworld.xctf.org.cn/competition 各路大神请指教 本人还是个弟弟水平打ctf 作为一个二进制手被里面的题目虐的不要不要的… 这时候推荐一下内存取证神器 volatility,这个东西很强大,kali系统自带,大家都可以去试一试。关于使用方法都可以在网上搜得到,我在这里就不多说了。(毕竟自己也很难记住...
记某工控CTF比赛一道ICMP隧道题
shutdown -s -t
08-15 3242
某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。 数据包如图: 当时的考量: 响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。 考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。 两个通信IP没有什么有用信息。 考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了...
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。...在攻防世界的挑战中,此类问题常常作为测试点,提升参赛者的实战技能和安全意识。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值