2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

  • A+
所属分类:CTF专场

简单的梯形图


和利时V3.1.5B3及以上版本的组态软件AutoThink打开梯形图程序

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


损坏的风机


解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

⼯控现场⾥异常的⽂件


解题思路

直接改EAX过掉反调试

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

过掉检测以后直接在调试窗口里就能看到flag

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


隐藏的⼯程 


解题思路

密码:ICS

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

提取出来⼀个蓝凑云连接:

https://wwr.lanzoui.com/iIMaiqcpaxg 

是kingview 6.55⼯程⽂件

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

OPC协议分析 



解题思路

流量里的两个主机 11 主机名是 ABC,21 主机名是 BCD,两台电脑都是 Windows,11 向 21 发请求。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

协议是基于 TCP 的应用层协议。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

⼯控安全异常取证分析 


解题思路

解压出来两个⽂件,⼀个1122,⽂件挺⼤,另⼀个是 112233,1kb ⼀看就知道是个vmdk。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

将 112233 改名为 Windows Server 2003 Web Edition-1.vmdk 

将 1122 改名为 Windows Server 2003 Web Edition-1-flat.vmdk 

⽤ DiskGenius 打开,应该是个NTFS分区FDD,没有分区表的那种。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

从名为 mp4.mp4 的⽂件中提取出⼀段 ascii 字符串。 

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

提取出字符串

HEX -> HEX -> B32 -> B32 -> B32 -> B64 -> B64 -> HEX -> B32 -> B64 -> B64

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


恶意文件分析


解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

无壳。进去类似一个shell

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

程序流程,输入32长度的哈希字符串,bytes.fromhex然后运行关键 crackme 函数。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

findcrypt发现文件中有CRC32常量。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

crackme函数中包含了一个硬编码的key,

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

从开源项目中可以检索到。

https://github.com/TurboPack/LockBox3/blob/master/run/ciphers/uTPLb_AES.pas

https://chromium.googlesource.com/chromiumos/platform/ec/+/refs/heads/stabilize-7797.B/test/tpm_test/crypto_test.xml

输入与硬编码的Key、加密结果作比较。16轮。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

循环16次看ECX值即可dump出预期输入。拼起来可以得到:22d72a581f3a61e61e5b127e47ad8c0c

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

将这个值输入程序,得到flag

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


Fins协议通讯 


解题思路
11683 号数据包

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

U2FsdGVkX1/bWSZYUeFDeonQhK0AUHr9Tm7Ic20PRXxlPvlwG6a4fQ==2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

3DES解密

https://www.sojson.com/encrypt_triple_des.html2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]



2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

本文始发于微信公众号(ChaMd5安全团队):2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: