2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

admin 2021年11月17日23:00:50评论163 views字数 1210阅读4分2秒阅读模式

简单的梯形图


和利时V3.1.5B3及以上版本的组态软件AutoThink打开梯形图程序

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


损坏的风机


解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

⼯控现场⾥异常的⽂件


解题思路

直接改EAX过掉反调试

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

过掉检测以后直接在调试窗口里就能看到flag

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


隐藏的⼯程 


解题思路

密码:ICS

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

提取出来⼀个蓝凑云连接:

https://wwr.lanzoui.com/iIMaiqcpaxg 

是kingview 6.55⼯程⽂件

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

OPC协议分析 



解题思路

流量里的两个主机 11 主机名是 ABC,21 主机名是 BCD,两台电脑都是 Windows,11 向 21 发请求。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

协议是基于 TCP 的应用层协议。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

⼯控安全异常取证分析 


解题思路

解压出来两个⽂件,⼀个1122,⽂件挺⼤,另⼀个是 112233,1kb ⼀看就知道是个vmdk。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

将 112233 改名为 Windows Server 2003 Web Edition-1.vmdk 

将 1122 改名为 Windows Server 2003 Web Edition-1-flat.vmdk 

⽤ DiskGenius 打开,应该是个NTFS分区FDD,没有分区表的那种。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

从名为 mp4.mp4 的⽂件中提取出⼀段 ascii 字符串。 

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

提取出字符串

HEX -> HEX -> B32 -> B32 -> B32 -> B64 -> B64 -> HEX -> B32 -> B64 -> B64

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


恶意文件分析


解题思路

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

无壳。进去类似一个shell

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

程序流程,输入32长度的哈希字符串,bytes.fromhex然后运行关键 crackme 函数。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

findcrypt发现文件中有CRC32常量。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

crackme函数中包含了一个硬编码的key,

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

从开源项目中可以检索到。

https://github.com/TurboPack/LockBox3/blob/master/run/ciphers/uTPLb_AES.pas

https://chromium.googlesource.com/chromiumos/platform/ec/+/refs/heads/stabilize-7797.B/test/tpm_test/crypto_test.xml

输入与硬编码的Key、加密结果作比较。16轮。

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

循环16次看ECX值即可dump出预期输入。拼起来可以得到:22d72a581f3a61e61e5b127e47ad8c0c

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

将这个值输入程序,得到flag

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp


Fins协议通讯 


解题思路
11683 号数据包

2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

U2FsdGVkX1/bWSZYUeFDeonQhK0AUHr9Tm7Ic20PRXxlPvlwG6a4fQ==2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

3DES解密

https://www.sojson.com/encrypt_triple_des.html2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]



2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

本文始发于微信公众号(ChaMd5安全团队):2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUp

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月17日23:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2021年⼯业信息安全技能⼤赛-线上第⼀场WriteUphttps://cn-sec.com/archives/411207.html

发表评论

匿名网友 填写信息