前言

前段时间省工控被暴打了就想着学习一下工控知识,于是发现了一个很nice的纯工控靶场:纵横网络靶场社区
工控小白在这记录一下(咕了很长一段时间,预计后续还灰咕咕咕

解题记录

Modbus协议

黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{}

考察modbus协议,过滤后发现有个长度最突出的包,进而发现一串可疑字符串得到flag:flag{TheModbusProtocolIsFunny!}

MMS协议分析

工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag形式为 flag{}。

在MMS包下查找一番并没发现什么可疑的信息,然后追踪tcp流发现一张base64编码的图片

base64转图片后即可得到flag:flag{ICS-mms104}

大工UDP协议

在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG,flag形式为 flag{}。

追踪UDP流发现可疑字符串

hex解码得到flag:flag{7FoM2StkhePz}

工控蜜罐日志分析

工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该IP的域名,,flag形式为 flag{}。

虽然不知道怎么才能找到针对西门子私有通信协议扫描最多的IP,但是不难看出来出现最多的IP就是139.162.99.243,于是尝试将其反查域名提交竟然真的是正确的flag:flag{scan-42.security.ipip.net}
(蹲个工控大佬?教教这题正解是咋搞的呀~

隐信道数据安全分析

安全分析人员截获间谍发的秘密邮件,该邮件只有一个MP3文件,安全人员怀疑间谍通过某种private的方式将信息传递出去,尝试分析该文件,获取藏在文件中的数据?flag形式为 flag{}。

(震惊!工控竟然还有音频题.jpg
尝试了一番音频隐写无果,最后还是010看看它的文件结构,根据题目关键词 某种private的方式 我们找到 struct MPEG_FRAME mf[] - struct MPEG_HEADER mpeg_hdr - uint32 private_bit ,将其每八个为一组,转十进制再转ASCII码,得到flag:flag{pr1v4t3_bi7}

工控安全取证

有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}

010查看可发现它是个pcap文件,于是我们直接用wireshark打开,很明显可以看出来主要就是 192.168.0.9 在攻击 192.168.0.99 ,然后根据题目我们就先将其按时间显示格式来观察

但由于它这时间都是很接近的,于是我们再根据协议来排发现ICMP协议正好是四次,进而得到数据包的编号为155990(but最后的flag却是flag{155989}

属实也没整太懂,那就附上其他师傅的wp

隐藏的黑客

根据情报得知工控现场发现某SCADA系统被黑客攻破,附件为黑客在目录留下的文件和当时时间段捕获到的一部分流量包,你能根据这些信息分析出蛛丝马迹来么flag形式为 flag{}。

首先我们可以看出在 upload 的文件夹下全是 webshell,然后我们分析流量包也在http流下发现webshell.zip

于是我们将其提取出来…

佛系摸鱼?ing