2023江西省振兴杯工控CTF-WP

一、协议分析

协议分析共四道题（全部解出）

1、modbus

提示：黑客通过modbus协议向他的同伙发送了一条秘密信息，通过流量设备我们抓取到了相关的流量包，你能根据流量包找到这条信息么?

TCP流追踪，发现flag特征：

对不要的字符进行过滤，就能得到flag：

2、异常的流量

提示：请对提供的流量进行分析，发现可能存在的异常，找出flag，提交格式：flag{xxx}。

TCP流追踪，发现ASCll编码的数字：

串联起来，进行解码，得到flag：

3、S7Error 

提示：某工厂的工程师发现有一台西门子设备存在资源异常，请分析并找出异常流量的数据包编号。

根据题意对流量报中的s7comm协议进行过滤。发现有4个异常的流包。跟文件名的十分关联，使用第一个流量包序号填入，确认就是flag：

4、OmronAttack

提示：某工厂的工程师发现有一台设备存在异常，抓取流量后发现了黑客的端倪，你能协助他分析黑客留下的痕迹吗？

打开数据包发现了存在omron协议，对omron进行过滤：

通过题目意思分析黑客留下的痕迹！我怀疑是存在写的操作。对数据再次过滤：

对包长进行排序，存在异常数据：

通过最后字母，发现两两对换就能变成一个单词：

发现FINS/TCP存在内容：

拼接起来得到a51e47f646375ab6：

使用md5(left)得到rabbit，猜测是rabbit加解密：

使用工具进行解密，key: a51e47f646375ab6

这里比较恶心，用工具不一定解出，需要换各种在线网站或者工具尝试，结果还不一样。

二、组态编程

第二组全是工控类题目。

1、工程的秘密

提示：小李刚入门自动化领域，学习了组态编程技术，他将一段秘密信息放在了组态文件中并把他藏了起来，你能把他找出来么？

用Stegsolve打开图片，保存隐写zip，解压得到cmp文件：

使用KingView打开文件：

交通灯画面中，发现flag：flag{zxb2023@758}：

2、篡改的组态

提示：组态工程文件被黑客篡改，导致程序画面功能出现问题，请协助分析组态程序，修复画面功能至正常。答案为flag{修复画面的脚本命令内容转换成HEX格式的前8位}

使用McgsPro版本组态软件打开：

修复这个按钮对应的脚本，工程恢复正常：

Flag为：修复画面的脚本命令内容转换成HEX格式的前8位。

3、简单的计算

提示：初入自动化的小王被单位的工程师出题，假设FC1块的IN1接口DB1.DBW0数值为900，IN2接口为360，IN3接口为20后，FC块将获取到接口的数据并加以计算最终由OUT接口DB1.DBD6输出结果是什么? flag格式为flag{}。

打开文件发现有一个.ap16的包，使用博途16打开该文件：

将题目中的FC1块的IN1接口DB1.DBW0数值为900带入其中运行仿真程序计算出结果：

将左侧数据填入右侧，开始监控数据，得到OUT接口DB1.DBD6输出结果：

4、交通灯

提示：附件是一个交通信号灯的一些资料，请你分析出当按下启动按钮后，信号灯启动控制过程中，信号灯亮、闪、灭的情况。方向及状态代号如下：东西：EW， 南北：SN， 红灯：R ，绿灯：G ，黄灯：Y， 亮：T ，闪：L 灭：F ，时间:S （1S,2S,3S,4S,5S），交通灯在一个周期内，按红绿黄灯顺序依次找出东西南北红绿黄灯的亮灭情况。如流程：南北红灯亮20S灭，绿灯亮10S闪烁灭，黄灯亮4秒闪烁3秒灭，可写为：SNRT20SF-GT10SF-YT4SL3SF。注：正确答案写成EWXX-XXXX-XXXX-SNXX-XXXX-XXXX为正确的flag。Flag格式为:flag{}

通过这篇文章计算出：https://www.yuque.com/u21661184/xrx4/zzgpgb?singleDoc# 《简单梯形图*》

查看附件交通灯.doc发现文件头为AC1024 cad：

转换为pdf后得到信息：

1.根据题目提示按照东西南北，红绿黄顺序逐一写入：

5、有趣的转盘

提示：车间最新设计了一个可转动圆盘设备，并设计控制程序使得转盘由西门子1200系列控制，该设备由一个转盘主体、启动程序按钮和三个限位开关组成；设备初始状态如图所示，当按下启动按钮后程序启动，限位开关1-3分别控制输入点位I0.1-I0.3，当触点与限位开关接触时，对应输入点位通电；启动按钮控制输入点位I0.0；设备转动分为内圈和外圈，转盘以逆时针转动，Q0.0输出点位控制内圈转动，Q0.1控制外圈转动，内圈转动会带动外圈一起转动，外圈转动是与内圈的相对转动（例如外圈内圈均转动90度;，则内圈转动90度;，外圈在内圈带动转动的90度;之外还要再相对于内圈转动90度;也就是总共转动180度;），触点1镶嵌在内圈上与内圈一同转动，触点2镶嵌在外圈上同外圈一同转动，转盘转动一圈所需时间为12s，操作员需要使用启动按钮方可启动程序；现在指定操作员对转盘进行模拟转动测试，操作员需要在转盘停止后按下启动按钮令转盘设备启动，直至转盘设备与图中初始位置相同后方可不再运行（即触点1、2对应如图位置）。flag格式为：10#flag{启动所需长按最短时间_总共按下按钮次数_mw3_设备停止时两个触点与中心连线最大夹角（小于等于180度;）}    

仅仅给了模型示意图：

目前我们没解出...有会的希望找大余告知解题方法感谢。

三、应急处置

1、登录日志分析

提示：黑客通过爆破SSH的方式成功入侵了工控服务器，请从日志中分析出攻击者的IP地址，确定成功爆破出登录名/密码的时间，flag即为该时间，如9:36:33。flag提交形式为flag{xxxx}

找到登录恶意IP登录成功时间：

2、设备运行状态分析

提示：操作员打开设备后，发现点击设备运行按钮后，设备不能正常启动，请帮助操作员分析程序，修复其中的问题。flag为导致设备故障的控制点所直接关联的两个子程序名称_按钮控制点名称的组合，例如：flag{[PID_count(SBR6)]_[PRT(SBR19)]_M0.0}。

这道题是有工控工具对应的，但是确实不会.....有两个电厂的小队解出了，还得技术专攻！！

四、恶意程序分析

1、样本分析

提示：某电力系统部门发现来历不明的病毒攻击，样本中包含可疑攻击行为，请对样本协助分析，找到隐藏在攻击代码中的flag。提交格式：flag{xxx}

010打开发现是PE文件，且由python编译：

反编译文件：

Iec104_control中找到flag：

2、恶意的指令

安全公司截获了某个针对电力系统攻击的样本，样本会向指定设备的8个IOA发送控制命令，flag就隐藏在IOA中。提交格式：flag{xxx}

Ida 入口函数中数组转为字符：

五、固件后门分析

一些厂商为方便调试和监测，可能会在产品上保留“后门”，这也为产品带来了较大安全隐患。请对提供的固件进行分析，找出其中可能存在的后门口令。flag即为口令字符串，提交格式：flag{xxx}。

搜索私钥关键字：

找到设置共享密钥函数：

2、固件加密分析

提示：某公司收到勒索邮件，经过分析查验后发现内网中并没有勒索病毒的痕迹，网管小张研究后发现疑似黑客对工控路由器进行了攻击，通过技术手段获取到了路由器固件，请帮助小张分析出固件并且尝试找出被加密的文件，提交格式：flag{xxx}。

这道题我只能给解题思路：

首先binwalk，看到xz后，010去看地址：（原文件有个hqqq，改成hsqs）

获得信息：

要么逆密码，跑起来让他自己解密，要么直接扣flag的解密代码！！

到此就是2023年江西省工控比赛16道题。

找到登录恶意IP登录成功时间：

2、设备运行状态分析

提示：

黑客通过爆破SSH的方式成功入侵了工控服务器，请从日志中分析出攻击者的IP地址，确定成功爆破出登录名/密码的时间，flag即为该时间，如9:36:33。flag提交形式为flag{xxxx}

原文始发于微信公众号（大余安全）：2023江西省振兴杯工控CTF-WP