いくつかの問題を解いたが、他の問題は解けなかった -_-|
modbus#
問題には modbus.pcapng のトラフィックファイルが与えられました。
Wireshark で開いてパケットを分析し、666c を検索します。666c の 16 進数デコードはフラグの 16 進数エンコードです。グループ解析結果をテキスト形式でエクスポートします。
grep を使用して文字を抽出します。
先頭の Data: 2400 と後続の重複した文字を削除して、次のものが得られます。
16 進数デコードすると、次のものが得られます。
s7error#
問題のヒント
ヒントに従い、エラーパケットを検索し、リソースの異常を示すパケット番号を見つけます。
したがって、エラーコードが 0x00(エラーなし)でないパケットをフィルタリングするために、Wireshark で次のフィルタを使用します。
((s7comm) && (s7comm.header.rosctr == 3)) && (s7comm.header.errcod != 0x00)
エラーコード 0x83
したがって、この行のパケット番号は 213056 であると推測され、フラグは次のようになります。
flag{213056}
工程の秘密#
開くと PNG 画像が表示されます。LSB ステガノグラフィを使用して、Stegsolve で開くと、圧縮ファイルが得られます。解凍して CMP ファイルを取得し、CMP ファイルを WinCC で開きます。
WinCC をインストールする必要がありますが、バージョン 7.0 以上が必要です。
インストールが完了したら、プロジェクトを復元します。
復元が成功したら、フラグは信号機の場所にあります。
悪意のある命令#
IDA で開き、F5 で逆アセンブルします。
ASCII エンコードします。
暗号化されたプロジェクト#
力控
デモ版をインストールします。
バージョン 7.1 以上が必要で、7.2 ではプロジェクトを復元できません。
復元をクリックし、PCZ ファイルを選択します。
インポートに成功します。
開発をクリックします。
ソフトウェアは暗号化されていて開けないというメッセージが表示されます。ソフトウェアのインストールに問題がある可能性がありますが、既に 3、4 個ダウンロードしてもうまくいきません。
参考:https://xuanxuanblingbling.github.io/ics/2019/07/29/ics3/
更新:
大佬のwriteupを参考にしました。