协议分析
流量分析
主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门
常见的工控协议有:Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等
由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定
CTF之协议分析文章合集
工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg
OMRON FINS
欧姆龙厂商
命令代码(Command CODE)特别多,主要关注读写相关,如:
- Memory Area Read (0x0101)
- Memory Area Write (0x0102)
- Multiple Memory Area Read (0x0104)
- Memory Area Transfer (0x0105)
- Parameter Area Read (0x0201)
- Parameter Area Write (0x0202)
- Data Link Table Read (0x0220)
- Data Link Table Write (0x0221)
- Program Area Read (0x0306)
- Program Area Write (0x0307)
- …
例题1 2020ICSC哈尔滨站—Omron Fins
题目要求:找到写入的异常数据
协议名写在题目上,直接筛选,寥寥几条数据,只有一个是写入
得到的数据发现不是flag,但是又没有其他数据写入
之前其实也有这样的题目,数据是两两字节存入,可能是要做前后翻转,只能去找omron协议数据存储方式或者尝试
例题2 2021ICSC线上—异常的Fins协议分析
题目要求:找到异常的数据流,flag为其数据流序号
偏脑洞,不太像工控题目
打开看看omron协议很多,很杂,无从下手,在科来网络分析系统中诊断出一个问题,tcp校验和异常
这个其实就是flag,题目名叫Fins协议,但是实际题目和工控基本没有什么关系,最多也就是omron是tcp下级
做题实在没思路就把wiresharktcp校验检查打开看看
例题3 2021ICSC线上—Fins协议通讯
偏脑洞
在压缩包底部注释发现key:jnds
omron协议一般没有很好地过滤方法,大致看了看,都是read,一般来说read的结果都在返回数据中,先筛选看一看
大致看了一遍 发现一个错误数据,发现还是tcp校验和,也可以根据数据包的长度筛选,要么flag是明文很短,要么加密后数据很长
U2fsd一般都是对称加密的结果
文章来源:https://www.toymoban.com/news/detail-522292.html
基本这种不怎么好分析的协议大多偏脑洞、碰运气,想到了就想到了文章来源地址https://www.toymoban.com/news/detail-522292.html
到了这里,关于工控CTF之协议分析7——OMRON的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!