记某工控CTF比赛一道ICMP隧道题

最新推荐文章于 2023-12-07 09:33:37 发布
最新推荐文章于 2023-12-07 09:33:37 发布
阅读量3.2k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 安全研究 文章标签: CTF 工控 ICMP隧道
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15174755/article/details/99661676
本文记录了一次工控CTF比赛中遇到的ICMP隧道题目,详细描述了解题过程。通过分析ICMP数据包,发现填充方式不寻常,尝试解密未果。最终通过关注ICMP包头长度找到了关键线索,揭示了数据隐藏的方式。虽然此类通信隐蔽性强,但效率较低,作者还分享了构造此类流量的脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

某塔的线上比赛平台,最后一道一堆蜜罐,听说没flag,反正没找到。然后看一下其中一道ICMP隧道的题目。
数据包如图:
数据包
当时的考量:
响应包有的,请求包也有,并且都一样,所以请求包的数据是最全的,可以不看响应包。
考虑到填充不符合正常的ICMP请求应答的填充方式,也尝试了对数据进行解密,但都无果。
两个通信IP没有什么有用信息。
考虑过包长度转ASCII字符的这个问题,但是看到整个包的长度超过了127,觉得不太可能就放弃了。后来实在找不出来,看了下ICMP包头长度,然后明白了可能只是数据长度。

以下是解题脚本:

#!/usr/bin/python
# coding=utf8
# @Author:B1u3Buf4

import pyshark
import base64


L_flag= []
packets = pyshark.FileCapture('xxx.pcap')
for packet in packets:
    for pkt in packet:
        if pkt.layer_name == "icmp": 
            if int(pkt.type) != 0:
                L_flag.append(int(pkt.data_len))
print(base64.b64decode(''.join([chr(c) for c in L_flag])))

有老哥吐槽说这题太脑洞了,谁能构造这样的流量也是够煞费苦心了。没有直接的文本特征,识别起来比较麻烦的,确实有一定的隐蔽性,但是作隧道可能通信效率太低了。然后无聊就写了一个构造这样发包的。

#!/usr/bin/python
# coding=utf8
# @Author:B1u3Buf4

import string
import time
import random
from
最低0.47元/天 解锁文章

200万优质内容无限畅学
ICS工业控制安全类方向赛简单总结
shutdown -s -t
01-01 2417
最近两年时间参加了一些工控安全比赛,接触到了一些工业控制系统相关的问。文章总结了一些常见的PLC编程软件、常见的目类型。 ICS工业控制系统的赛比较灵活,可以理解为Web、Reverse、Misc等方向综合体。从本身入门难易程度来看,入门的目以WEB和流量分析为主,深入一些会涉及到梯形图、固件分析、程序修改等等方面的考察。
icmp端口_使用icmp隧道进行端口转发
weixin_39983223的博客
11-25 1328
作者:Taoing 编辑:白帽子社区运营团队 "ICMP隧道简单实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备要进行通信,肯定需要开放端口,而在ICMP协议下就不需要。最常见的ping命令就是利用的ICMP协议,攻击者可以利用命令行得到比回复更多的ICMP请求。在通常情况下,每个ping命令都有相应的回复与请求。在一些网络环境中,如果攻击者使用各类...
攻防世界 xctf 工控安全取证 writeup
dchua123的专栏
03-28 4271
目: 有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{} 1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng 2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。 开始我的策略是手工分...
ctfhub 杂项 --icmp
tansty_zh的博客
08-11 2216
ctfhub 杂项 技能树–流量分析–icmp–data 1.过滤icmp包 2.观察 从上面那个包开始有“{‘,到第二张的包后又有”}“,猜测可能是”{“ 到”}“之间相对应的位置的字母可能就是flag 3.录 {c87eb99796406ac0b} 再加上ctfhub,flag为”ctfhub{c87eb99796406ac0b}“ 取得 {c87eb99796406ac0b}“ 取得 ...
工控CTF之协议分析8——特殊隧道
一个普普通通的博客
12-20 1865
工控CTF之协议分析8——特殊隧道
工控ctf
qq_45951598的博客
10-29 8107
文章目录黑客的大意 黑客的大意 下载后得到mail,在文件后面jpg 打开图片是一个这样的图片, 这里我们根据目的意思: 黑客在入侵后不小心留下了这样一个文件,请分析文件进行溯源,找到黑客的邮箱。flag格式为flag{邮箱账号} 这里的主要关键词是对文件进行溯源,以及flag格式为邮箱账号 然后我们看文件有什么特征,然后发现下面有一句英文 ...
CTF工控工业互联网(ISC)复现总结WP(超详细)
Aluxian_的博客
12-07 6998
工控领域的TCP协议,有时wireshark会将response包解析为tcp协议,影响做,如果筛选mms时出现连续request包,考虑wireshark解析错误,将筛选条件删除手动看一下。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。格式为 flag{}某10段工控网络中,工业协议中存在异常数据。2019-工业信息安全技能大赛-深圳站-工业协议分析1。
工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
最新发布
01-25
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为...工控CTF比赛工具-各种网络数据包处理脚本源码+项目说明.zip
CTF信息安全比赛单项选择.docx
01-25
CTF信息安全比赛单项选择.
一道MMS工控协议CTF的WriteUp-附件资源
03-05
一道MMS工控协议CTF的WriteUp-附件资源
工控CTF比赛工具,各种网络数据包处理脚本.zip
09-30
工控领域,CTF(Capture The Flag)比赛是一种常见的网络安全竞技活动,旨在提升参赛者在实际环境中的攻防技能。这个压缩包“工控CTF比赛工具,各种网络数据包处理脚本.zip”显然是为这类竞赛准备的资源,包含了...
CTF工控安全.pdf
02-26
CTF工控安全.pdf
工控CTF(wp)
aarong的博客
04-17 9945
这里写自定义目录标欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
CTFHUB技能树-Misc-流量分析-ICMP
豆傻小饼干随记
01-13 9544
Tips:代码仅供借鉴学习,还请大家多多思考 ICMP-Data: # coding = utf-8 # --author:valecalida-- from os import system as get_hex # 调用tshark时需要将tshark加入环境变量,且脚本需要与流量包在一个路径下 get_hex("tshark -r icmp_data.pcap -Y \"icmp && icmp.type==8\" -T fields -e data > flag.txt
CTFHUB-流量分析-协议流量分析-ICMP
m0_64180167的博客
03-08 2614
我们打开然后放入wireshark中搜索icmp然后搜索ctfhub发现没有然后就看{我们从最底下开始往上翻从这里我们就发现了规律了 已经出现了ctf了 所以我们就只要将这个位置上组合起来就是flag。
工控CTF中常见型介绍(上)
jennycisp的博客
11-22 1802
工控CTF目主要以流量分析、无线电分析、组态分析、梯形图等方向为主,偶尔有逆向分析、日志分析等相关分析目。相关赛事较少,赛事主办方以政府为主,常见的有每年的ICSC/IISC国赛及其各省的选拔赛/省赛。线下赛有工业网络渗透实战、工业应急响应等赛制,主要考察渗透和运维能力。本篇因csdn存在图片数量限制,本篇只是总结了工控ctf中协议分析相关目的解方法。对于工控ctf中逆向分析、组态分析、梯形图相关目放到下一章节进行讲解。
ctf工控 流量
qq_61768489的博客
10-17 3700
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
2021CTF工业信息安全技能大赛-工控指示灯的逻辑推理
qq_43264813的博客
07-05 1643
2021CTF工业信息安全技能大赛-工控指示灯的逻辑推理 小明刚刚入门工业自动化领域,某天发现一个很有意思的指示灯梯形图运行过程,你能帮助小明找出flag吗?(详细赛实例请下载进行查看),flag格式为flag{}。 解步骤: 1.T+0S时,I0.0置位为1,M0.0启动并锁定,同时T37启动,Q0.0为1,H1为点亮;T+1S时,T37计时器输出置位为1。M0.1启动并锁定,程序段1中的关联常闭开关打开,M0.0关闭,Q0.0为0,H1熄灭因此可得H1运行过程为H1T1SP。 2.以此可得H2~h7
CTF工控流量分析-集4-[巅峰极客 2022 决赛]开端:strangeTempreture
m0_51198141的博客
12-01 790
巅峰”小组走进尚未测试的时光机器中,为躲避“九婴”的追踪,队员立刻拿出设备进行扫描,果然传感器探测到了异常数据,你随即使用设备开始分析了起来......熟悉flag的特征就没有难点,否则只能逐个分析夹杂的数据排除了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值