freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2021工业信息安全技能大赛第一场部分wp
2021-07-06 11:45:31

1、 简单的梯形图

WP:

我们在观察到hpf文件的时候发现了文件的版本信息。

1625542750_60e3d05e7a6b15d6fc217.png!small?1625542751245

综合分析此为使用和利时LE系列PLC编程软件(AutoThink) v3.1.5B3 版本可以打开的文件。

1625542762_60e3d06a4ca52dd94d930.png!small?1625542762964

2、 损坏的风机

思路

得到的是一个Pcap文件,里面有modbus协议,题干上说的是,转速过2000,然后通过data发送的指令。1625542777_60e3d079248283f53a8e2.png!small?1625542778312

我们筛选一下modbus的指令:1625542789_60e3d085d37b0c0ac3b3e.png!small?1625542790761

然后我们把所有写操作整理一下

1625542798_60e3d08e04cbdf3bb66ff.png!small?1625542798887

寻找大于2000这个转速(7D0)的封包,只有这一个封包。

1625542812_60e3d09c0660f4a199e91.png!small?1625542813097

得到答案。

3、工控现场里的异常文件

思路

是一个32位的exe文件,我们进行动态调试发现有反调试功能。

1625542824_60e3d0a895fff309b580a.png!small?1625542825373

直接把三个逻辑patch掉,或者动态调试暴力跳过即可。

1625542832_60e3d0b033d41011cb168.png!small?1625542832889

之后要求无限制的输入,这个也要绕过掉

1625542841_60e3d0b94e8912f991807.png!small?1625542841958

当这个输入的内容首字符需要等于这段内存的内容才被允许退出get。需要检查efc2c8到efC2CF动态内存区域的内容。

重新调试。

1625542848_60e3d0c0a6e28015a8d6e.png!small?1625542849476

调整顺序可以得到输入内容。

^-^R8b8t

1625542855_60e3d0c7adda67c3a7666.png!small?1625542856298

4、      隐藏的工程

隐写题, 有一张图片,先拿binwalk看一下。

1625542862_60e3d0ce5fa925ca2d029.png!small?1625542863027

无有效信息。

Stegsolve查看,无信息。

Stegdetect检查:

1625542869_60e3d0d50d743ffbf6148.png!small?1625542869721

F5图片隐写。

Stegbreak爆破密码,

stegbreak -r rules.ini -f pwg.txt gcwj.jpg

密码为:ICS

下载F5隐写处理程序:

git clone https://github.com/matthewgao/F5-steganography

执行解密操作

1625542875_60e3d0db62c2edbe50851.png!small?1625542876108

得到一个链接:

https://wwr.lanzoui.com/iIMaiqcpaxg并下载网盘文件。

1625542883_60e3d0e380162c1ef69a2.png!small?1625542884191

使用010打开发现了敏感字符串。需要下载这个kingview软件。

1625542889_60e3d0e9b027129d1f689.png!small?1625542890409

1625542892_60e3d0ecb1dc6030e6677.png!small?1625542893430

1625542896_60e3d0f0495076f91791f.png!small?1625542896868

5、      工控安全异常取证分析

文件大小特别大,考虑是固件、分区、内存dump、虚拟机等。

1625542912_60e3d10014c0f3ce8dcc4.png!small?1625542912784

查看小文件,发现是vmdk。

但是新建虚拟机无法导入该文件。

想其他方法:

1625542917_60e3d105929a2ed5c9ec2.png!small?1625542918220

发现是一个ntfs流分区,利用DiskGenius可以打开。、

1625542924_60e3d10c57fad15009a81.png!small?1625542925082

内容是

1625542930_60e3d112f0202522de7e8.png!small?1625542931670

分区其他位置并没有相关文件。重新用010editor分析一下分区文件。

(未完成)后边不会解。

6、      恶意文件分析

程序是64位的PE程序。主逻辑再main函数中。

1625542958_60e3d12e63b380dcbae20.png!small?1625542959033


程序启动后接收一个大于32位的字符串,并且转换为hex之后做AES的相关处理。

我们进入函数AES_CRACK中。

判断AES加密的依据为出现了AES的相关特征。1625542966_60e3d13625695ae2b4258.png!small?1625542967563

1625542969_60e3d139332db60dbef40.png!small?1625542970758

以上两个图证明他们实在进行aes加密操作。

我们将相关函数注释之后进行下一步运算。

1625542974_60e3d13eb665fcd816f78.png!small?1625542975688

看这个函数,如果加密之后的密文按位对比我们输入的hex ,如果相同则v5=v3。通过我们动态调试发现:

1625542980_60e3d144b329642304d43.png!small?1625542982908

将每一位拼接起来就可以得到:

22d72a581f3a61e61e5b127e47ad8c0c

将这个值输入程序,得到flag:

1625542993_60e3d1517a57b425554d6.png!small?1625542994170

7、      Fin协议分析

按照协议流分析,包量巨大,未发现有效的信息。

按照大小排序,从大包往小包审查,发现可疑内容。

1625543003_60e3d15bcf4897b86d4cc.png!small

解密之后出现了盐值。

1625543017_60e3d1692d789f48870c2.png!small?1625543017835

再压缩包底端发现了key

1625543031_60e3d177aa6c53f6733a3.png!small?1625543032255

进行3ds解密:

1625543038_60e3d17ed94177be0ff18.png!small?1625543039527

本文作者:, 转载请注明来自FreeBuf.COM

# 工控安全 # CTF
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑