题目信息
来源:2020-之江杯-S7协议恶意攻击分析
难度:⭐⭐⭐⭐
平台地址:CTFHub
更好的浏览体验:
题目描述
某天在硫化车间脱硫工艺所使用的的西门子PLC突然发生停机事件,经工厂人员调查发现该时间段PLC存在多次异常行为,请协助调查人员找出PLC相关行为,flag为异常行为数据包的前四位加后四位,格式为flag{}。
技术要点
- 熟练使用抓包工具
- 敏锐的数据分析
- S7Comm协议分析
解题思路
- 使用
Wireshark对题目给出的10.pcap进行抓包流量分析
- 注意到题目描述中说到西门子PLC发生了停机事件,因此,可以猜想带有“
stop”字样的信息源
设定规则
tcp.stream eq 0检测在这其中发送的TCP包,筛选出第一个TCP流(包含完整的一次TCP连接:三次握手和四次握手)找到了一个报文分组中的stop字段,如下:
将stop转化为十六进制字符表示,得到
flag:flag{3201414d}FLag
flag{3201414d}
总结
- 本题是一道较为经典的流量分析的CTF习题,主要是考察对于Wireshark地熟练使用和对于报文抓取的分析,结合题意和计算机网络的基础知识进行解题,找到最后的flag。
- 兵无常势,水无常形,能因敌变化而取胜者,谓之神。😊👍
声明:
本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。