1. Toy模板网首页
  2. > Toy博客

工控CTF之协议分析3——IEC60870

9月前 作者:Shadow丶S 分类:Toy博客 阅读(46) 违法举报

这篇具有很好参考价值的文章主要介绍了工控CTF之协议分析3——IEC60870。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

协议分析

流量分析

主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征
简单只能简单得干篇一律,难可以难得五花八门

常见的工控协议有:Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等

由于工控技术起步较早但是统一的协议规范制定较晚,所以许多工业设备都有自己的协议,网上资料数量视其设备普及程度而定,还有部分协议为国家制定,但仅在自己国内使用,网上资料数量视其影响力而定

CTF之协议分析文章合集

工控CTF之协议分析1——Modbus
工控CTF之协议分析2——MMS
工控CTF之协议分析3——IEC60870
工控CTF之协议分析4——MQTT
工控CTF之协议分析5——COTP
工控CTF之协议分析6——s7comm
工控CTF之协议分析7——OMRON
工控CTF之协议分析8——特殊隧道
工控CTF之协议分析9——其他协议
文中题目链接如下
站内下载
网盘下载:https://pan.baidu.com/s/1vWowLRkd0IdvL8GoMxG-tA?pwd=jkkg
提取码:jkkg

IEC60870

  • 子协议
    • IEC101(任务相关)
    • IEC102(电量相关)
    • IEC103(保护相关)
    • IEC104(101的网络版)
    • IECASDU(基于101/104的应用服务数据单元传输)
  • 主要技巧
    • 筛选iec60870_asdu
    • 关注IOA的值
    • 可尝试用type进行分类

例题1 HNGK-奇怪的工控协议

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w3GWEErL-1671529464977)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101509327.png)]

(图中应为一半以上涉及modbus)

筛选条件iec60870_104,iec60870_asdu,分别查看IOA的值并看数据书否有异常或奇怪的地方

发现flag

工控CTF之协议分析3——IEC60870,CTF刷题,工控,安全,网络协议

例题2 HNGK-协议分析

发现此题目存在多个连接,按分组筛选iec60870_asdu && tcp.stream == 0

工控CTF之协议分析3——IEC60870,CTF刷题,工控,安全,网络协议

发现有些数据包是报错的,正确的包应该含有IOA的值iec60870_asdu && tcp.stream == 0 && iec60870_asdu.normval

还有五百多条数据,剩下的可以以TypeID为条件筛选,一个一个筛过去

(((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid == 34)发现IOA的值对应的基本都是乱码,或者发现还有三百多条数据判断他是正常的

最后在typeid=9处发现两个等号收尾的以两字节为一组的数据

((((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid != 34)) && (iec60870_asdu.typeid != 9)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ur2BOPfZ-1671529464979)(https://picture-ssh.oss-cn-beijing.aliyuncs.com/img/WEB202212101614117.gif)]

将其提取出来解base64错误,发现开头mZhx,而flag的base64对应值为Zmxh,猜测是前后颠倒两两一组

得到flag

题目难点在于连接过多,筛选复杂,出题人还算良心第一条连接就有flag,否则还要多次筛选tcp.stream;对于数据敏感性也是难点,再翻数据的时候能发现数据异常或特征;筛选小技巧typeid文章来源地址https://www.toymoban.com/news/detail-577613.html

到了这里,关于工控CTF之协议分析3——IEC60870的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 工控CTF之协议分析6——s7comm

    工控CTF之协议分析6——s7comm

    流量分析 主要以工控流量和恶意流量为主,难度较低的题目主要考察Wireshark使用和找规律,难度较高的题目主要考察协议定义和特征 简单只能简单得干篇一律,难可以难得五花八门 常见的工控协议有:Modbus、MMS、IEC60870、MQTT、CoAP、COTP、IEC104、IEC61850、S7comm、OMRON等 由于工控

    2024年02月02日
    浏览(35)
  • [CTF/网络安全] 攻防世界 fileinclude 解题详析(php伪协议)

    [CTF/网络安全] 攻防世界 fileinclude 解题详析(php伪协议)

    由于index.php在/var/www/html目录下,而flag.php与index.php同为php文件,故猜想flag.php也在该目录下。 查看页面源代码获取更多信息: 源代码中看到 @include($lan.\\\".php\\\"); ,即此处存在文件包含。 又因为 $lan = $_COOKIE[\\\'language\\\']; 因此解题思路为:利用php伪协议,构造language参数,来读取该目

    2024年02月07日
    浏览(47)
  • 工控安全—工控常见协议识别

    工控安全—工控常见协议识别

    https://github.com/hi-KK/ICS-Protocol-identify 3.1 S7 3.2 Modbus 3.3 IEC 60870-5-104 3.4 DNP3 3.5 EtherNet/IP 3.6 BACnet 3.7 Tridium Niagara Fox 3.8 Crimson V3 3.9 OMRON FINS 3.10 PCWorx 3.11 ProConOs 3.12 MELSEC-Q 首先启动windows2003下的S7工控模拟器 启动完毕如下图: 可以看到相关的版本信息等等 使用kali进行探测 Kali: nm

    2023年04月15日
    浏览(35)
  • [CTF/网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)

    [CTF/网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)

    这段代码首先通过 show_source(__FILE__) 显示当前文件的源代码,然后通过 $_GET[\\\'hello\\\'] 显示 URL 参数中名为 hello 的值。 接下来,代码使用 $_GET[\\\'page\\\'] 获取 URL 参数中名为 “page” 的值,并进行字符串替换,将 php:// 替换为空字符串 这是为了防止通过 URL 参数加载本地文件或其他可

    2024年02月08日
    浏览(48)
  • 工控安全-Modbus协议

    工控安全-Modbus协议

    Modbus协议是工业控制器网络协议的一种,此协议定义了一个控制器能够认识的消息结构,描述了一个控制器请求访问其他设备、回应来自其他设备以及侦测错误并记录的过程。 Modbus是一种应用层的报文传输协议,它既可以在物理层面上选择串口进行简单的串行通信,也可以使

    2023年04月24日
    浏览(42)
  • [CTF/网络安全] 攻防世界 file_include 解题详析(php伪协议+convert转换过滤器)

    [CTF/网络安全] 攻防世界 file_include 解题详析(php伪协议+convert转换过滤器)

    题目描述:怎么读取文件呢? 思路: 由代码审计可知,可通过filename参数构造POC,来读取check.php POC的构造涉及PHP伪协议,参考链接: 文件包含 | PHP伪协议实战 POC: 回显如下: 猜测被过滤,怎么办呢? 该题涉及到 convert转换过滤器 常见的convert转换过滤器有这两种:

    2024年02月07日
    浏览(72)
  • 信息安全-工控安全需求分析与安全保护工程

    信息安全-工控安全需求分析与安全保护工程

    工业控制系统: 简称 工控系统(ICS) ,是由各种 控制组件、监测组件、数据处理 与 展示组件 共同构成 的对工业生产过程进行控制和监控的业务流程管控系统 工控系统分类: 分为 离散制造类 和 过程控制类 两大类, 控制系统包括 SCADA系统、分布式控制系统(DCS)、过程控制系

    2024年02月09日
    浏览(34)
  • 工控网络安全分支-电力行业网络安全建设

    工控网络安全分支-电力行业网络安全建设

    长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面,预防发生工业事故造成人员、财产、或环境损失。然而,信息技术的发展已经打破了传统的“物

    2024年02月03日
    浏览(72)
  • 工控安全与网络安全有什么不同?

    工控安全与网络安全有什么不同?

    在当代,全球制造业正在经历一场前所未有的技术变革。工业4.0不仅代表着自动化和数据交换的进步,它还揭示了工业自动化、智能制造与系统集成的融合。这种集成为企业带来了效率和质量的双重提升,但同时也暴露出新的安全隐患。工控系统成为了这一转型的中心,而确

    2024年02月08日
    浏览(41)
  • 工控系统的全球安全现状:全球漏洞实例分析

    工控系统的全球安全现状:全球漏洞实例分析

    一、摘要 ​ 运营技术(OT)、网络和设备,即工业环境中使用的所有组件,在设计时并未考虑到安全性。效率和易用性是最重要的设计特征,然而,由于工业的数字化,越来越多的设备和工业网络想公网开放。这有利于工业环境的管理和组织,但他也增加了共勉,为攻击者提供

    2024年02月05日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包