2021年江西工业互联网大赛-线上初赛Writeup

点击上方蓝字·关注我们

某企业的运维工程师发现网络中出现流量异常，于是从场内一交换机抓取了数据包，请协某企业的运维工程师发现网络中出现流量异常助找出流量中针对正常的业务的异常数据内容，flag提交形式为flag{xxxx}。

科来网络分析发现很多http协议，但是题目考点肯定不是这个发现modbus有异常，查看异常发现一串字符串猜测是编码  发现一眼 rot13  解码

flag{flagisthisModbussssss}

hint:OPC是微软公司的对象连接和嵌入技术在过程控制方面的应用，OPC标准定义了在基于PC的客户机之间进行自动化数据实时交换的方法，因此OPC协议在工业控制现场使用非常多。请对提供的OPC通信流量进行分析，尝试找出流量中的flag。

诊断,发现异常流量包,查看流,发现一串字符串

一眼是十六进制的ASCII码，直接使用CyberChef

flag{ICSjx@2021}

这是工艺监控流程文件被人破坏，写入了某些特别的内容，请根据文件，找出其中的flag提交格式:flag{xxx}

首先放入010查看发现IDAT相关,可以确认是图片

发现可能是少了文件头  添加文件头：

89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52

修改后缀，恢复了图片 但是图片高度还是休要修改 

直接工具一把嗦哈！

某黑客小王给他的同伙留下了一些可疑的文件，请协助找出文件中隐藏的秘密信息，flag提交形式为flag{xxxx}。

根据题目名称secet和key 可以想到OurSecret隐写

WhereIsYourKey 放入IDA 进行分析：

F5进去，追踪compare_pwd，S1和v3还有strcpy复制函数()，继续追踪get_pwd，看对于s1进行了什么操作，发现异或操作24位

0x7B175614497B5D49 0x547B175651474157  按 shift+e

同时也不要忘记S@他们十六进制的值为0x53和0x40，在进行异或24的操作

S1=[0x49, 0x5D, 0x7B, 0x49, 0x14, 0x56, 0x17, 0x7B, 0x57, 0x41, 0x47, 0x51, 0x56, 0x17, 0x7B, 0x54,0x53,0x40]exp：S1 = [0x49, 0x5D, 0x7B, 0x49, 0x14, 0x56, 0x17, 0x7B,0x57, 0x41, 0x47, 0x51, 0x56, 0x17, 0x7B, 0x54,0x53,0x40]flag=''for i in range(len(S1)):    flag += chr(S1[i] ^ 0x24)print(flag)

unhide 导入文件 输入密码：my_m0r3_secur3_pwd

得到一串编码 尝试后发现是 XXencode编码：

bNalVNrgkPaltLrIpLohiA5RTAHRTF1-iHnRTJ1BgAJxjBqVZQbBx

flag{0nly_u5_Kn0w_17_D0nO7_T3l1_o7hers}

文件为硬盘镜像副本,请恢复该硬盘中的文件,寻找Flag。

导入镜像文件,使用DiskGenius 

恢复一下文件看到flag.rar.

解压得到一张图片，打开图片得到flag。

flag{73D3DA963F7505E9}

小明作为工厂运维人员，对路由器固件进行升级操作。升级后尝试使用默认帐户信息以admin/admin身份登录以设置路由器，但无法连接。分析原因并获取帐户信息。密码即为flag。

bin文件 放入010查看发现文件头

file查看文件是压缩文件,直接解压。

使用解压命令：unsquashfs takeme.bin

什么是sqfs文件格式？

简介：sqfs，Squash file system，压缩文件系统，.sqfs表示压缩文件系统的文件类型，可引导文件或引用用于UNIX的可引导磁盘映像的文件。

解压发现有超级多文件,只能用过滤规则了 使用grep:

grep -rn '^password.*' ./*

因为ifconfig.cfg文件很明显是配置文件

flag{WldOb2J5NWllV1YwZER4}

某PLC设备的固件已被攻击者提取并打包，请对固件进行分析，账户用户名密码信息。flag格式为:flag{ftp username+ftp password}，例如，用户名为admin，密码为123，则flag为flag{admin+123}。

firm.ldx放入HxD发现pk修改后缀zip发现jar后缀直接使用工具jaxd-gui 反编译，找到SACOMM.jar 直接搜索 ftp关键字 找到 账号密码 组合即可。

flag{sysdiag+factorycast@schneider}

请试着分析程序和其所下载的sc.jpg，从中找出flag。

IDA打开拖程序F5跟进主函数,查看源码发现进行异或61

flag{49ba59abbe56e057}

描述：在某工控人员手机中发现一个疑似远控木马样本，请分析该样本，请找到回传数据的目标邮箱地址，为后续的攻击溯源提供帮助，flag提交格式为:flag{邮箱地址}。

方法一：

一个apk文件,jadx打开app,再MainActiviti 找到目标邮箱,发现有两个第2个是答案

Ps:为啥要找MainActiviti，因为他是用户打开应用时首先看到的界面，类似于网站的主页.它是应用程序的入口点.

修改apk后缀为zip解压,使用grep过滤全局找邮件即可。

grep -rn '@.*.com' ./*strings classes.dex | grep -E '@.*.com'

flag{[email protected]}

关注我们

欢迎关注鱼影安全社区,专注CTF,职业技能大赛中高职技能培训,金砖企业赛,世界技能大赛省选拔赛,企业赛,行业赛,电子取证和CTF系列培训。

鱼影安全团队招人啦,有感兴趣的师傅可以私信我

新能源企业需要工控CTF安全培训,可以联系小编

点分享

点收藏

点在看

点点赞

原文始发于微信公众号（鱼影安全）：2021年江西工业互联网大赛-线上初赛Writeup