之江杯-WriteUp

  • A+
所属分类:逆向工程

之江杯-WriteUp

恭喜Venom在此次挑战赛中获得第一名的好成绩!

给各位大佬递茶

之江杯-WriteUp

下面一起来看看WriteUp~

CTF

S7Comm 攻击协议分析

之江杯-WriteUp

可得flag



梯形图2

之江杯-WriteUp



内存取证分析

之江杯-WriteUp             之江杯-WriteUp

密码为空

发现有个notepad的进程。打开了flag。txt,还有个flag.rar

      之江杯-WriteUp

之江杯-WriteUp       

提取两个文件。发现flag。txt是加密的。压缩包也是加密的

附件直接string可得flag



IC卡分析

两个文件不同的点

之江杯-WriteUp之江杯-WriteUp      之江杯-WriteUp              之江杯-WriteUp

       之江杯-WriteUp       之江杯-WriteUp       

金额是两个字节存储,按4字节为一组,前俩字节是数据,后俩字节是校验,校验方式为异或
比如0x7896 ^ 0x0000
后续的数据如下
7B 00 00 00 A6 FF FF FF 30 00 00 00
75 00 00 00 A0 FF FF FF 34 00 00 00
72 00 00 00 9A FF FF FF 5F 00 00 00
31 00 00 00 96 FF FF FF 6B 00 00 00
65 00 00 00 A0 FF FF FF 6D 00 00 00
79 00 00 00 A0 FF FF FF 73 00 00 00
69 00 00 00 8C FF FF FF 74 00 00 00
65 00 00 00 8D FF FF FF 7D 00 00 00
4字节一组。类似7B 00 00 00直接取值,即为0x7b,类似A6 FF FF FF的进行ff异或,即为0xa6^0xff

       之江杯-WriteUp



上位机通讯异常分析

之江杯-WriteUp




S7协议恶意攻击分析

有个发到PLC的STOP包

之江杯-WriteUp



异常的流量分析

之江杯-WriteUp

strings 时发现有张图片,打开可得flag

 


梯形图分析1

之江杯-WriteUp



工控组态分析

控直接加载项目

之江杯-WriteUp



modbus

tcp.stream eq 1

之江杯-WriteUp之江杯-WriteUp       

317772337d

1wr3}

之江杯-WriteUp

666c61677b => flag{

3138676854 => 18ghT

317772337d => 1wr3}



注册表分析

之江杯-WriteUp



控现场的恶意扫描

之江杯-WriteUp



简单Modbus协议分析

之江杯-WriteUp



病毒文件恢复

https://lesuobingdu.360.cn/

上传信息直接在线解密



异常的工程文件

之江杯-WriteUp




之江杯-WriteUp

结束


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]



之江杯-WriteUp

本文始发于微信公众号(ChaMd5安全团队):之江杯-WriteUp

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: