协议分析
流量分析
主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门
常见的工控协议有:Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等
由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定
CTF之协议分析文章合集
工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg
Modbus
Modbus,市场占有率高、出题频率高,算是最常见的题目,因为这个协议也是工控领域最常见的协议之一,主要有三类
-
Modbus/RTU
从机地址1B+功能码1B+数据字段xB+CRC值2B
最大长度256B,所以数据字段最大长度252B
-
Modbus/ASCII
由Modbus/RTU衍生,采用
0123456789ABCDEF表示原本的从机地址、功能码、数据字段,并添加开始结束标记,所以长度翻倍开始标记
:(0x3A)1B+从机地址2B+功能码2B+数据字段xB+LRC值2B+结束标记\r\n2B最大长度513B,因为数据字段在RTU中是最大252B,所以在ASCII中最大504B
-
Modbus/TCP
不再需要从机地址,改用UnitID;不再需要CRC/LRC,因为TCP自带校验
传输标识符2B+协议标识符2B+长度2B+从机ID 1B+功能码1B+数据字段xB
题目中一般只考Modbus/TCP类型
功能码(常见)
1:读线圈
2:读离散输入
3:读保持
4:读输入
5:写单个线圈
6:写单个保持
15:写多个线圈
16:写多个保持
例题1 HNGK-Modbus流量分析
打开流量包发现基本都是Modbus/TCP协议,包含少量TCP协议,第一个筛选条件,找出所有Modbus协议
第二个筛选条件:分析功能码,以功能码为1举例
第三筛选条件,找回包(对比发现回包有一个代表长度的Byte Count),且发现看似是二进制的乱码
查找每一个功能码,最终在功能码16找到flag
例题2 HNGK-modbus(异常流量)
flag为异常流量的序号
筛选出所有Modbus协议流量,发现有多种功能码,一个一个查询是否有异常流量
首先是17,发现请求包中无其他参数,查看前面几个回包均发现060000数据,猜测此为正常流量,于是将060000作为不查询条件
没有其余流量,判断功能码17无问题,将17作为不查询条件接着查看下一个功能码
功能码109:查询和返回都有数据,先将查询的数据54不选中,得到大量返回包,将其数据00不选中
没有异常流量,查询下一功能码
功能码67:方式同上,这里将返回数据有多种情况
最终在功能码1中发现异常
(modbus.func_code == 1) && (modbus.bit_cnt != 8)
有请求包就有返回包,四个包都是异常的,但是异常一定是有请求数据异常导致,所以实际上只需找到请求包即可
筛选条件有多种方式
(((((modbus.func_code == 1)) && !(modbus.reference_num == 0)) && !(modbus.reference_num == 1536)) && !(frame[63:1] == 00)) && !(frame[63:1] == fe)
例题3 HNGK-modbus协议分析(偏脑洞)
以Modbus协议为条件筛选,发现功能码大部分为3,少数为2和6,老规矩,一个一个分析
以功能码3为例:请求包几乎都一样,无明显异常
筛回复包,题中源ip为192.1688.161.2的是回复,所以ip.src == 192.168.161.2
可以看到有很多无效数据
将无效数据筛除,条件有很多,这里筛选包含byte count的数据即为回复数据
从头到尾看一遍会发现响应值逐渐出现数据,看似很有规律且都是键盘上那一行字符
复制16进制流并剔除不需要的杂数据
将无用字符00删除,得到有用十六进制
将其转为十进制
这一题的脑洞也就是这里,将十进制当做十六进制处理,发现居然没有乱码,得到的结果很合理
文章来源:https://www.toymoban.com/news/detail-433928.html
再解十六进制得到明显base64,解得flag文章来源地址https://www.toymoban.com/news/detail-433928.html
到了这里,关于工控CTF之协议分析1——Modbus的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
