之江杯2020工控题目 Write Up

异常的工程文件

strings一把梭了，

病毒文件恢复

360很牛逼啊，很快啊，直接就解开了

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士 (360.cn)

简单Modbus协议分析

文章参考Modbus协议详解 – 简书 (jianshu.com)

hex编码一下就行了

工控现场的恶意扫描

老套路，依旧是strings。。。。

注册表分析

题目说是wifi名称，那么就直接notepad打开然后找到wifi段

flag{OPPOReno}

modbus

梅开三度失败了可恶，乖乖分析

直接搜666c

找到可疑字符串，继续向下寻找

总共三段，进行转hex即可

工控组态分析

gk是zip，解压后获得PCZ文件，使用力控，点击恢复，进行恢复工程，恢复后点击开发即可

异常的流量分析

发现一串base64的图片，直接导出来看看

S7协议恶意攻击分析

S7COMM协议参考文章：

https://www.cnblogs.com/nongchaoer/p/11975952.html

进行wireshark分析，观察S7COMM报文info，发现一条稍微不一样的流

并且发送了stop指令，猜测这个流就是我们需要找的，按照格式写flag即可

上位机通讯异常分析

依旧是分析S7COMM流量，题目说异常数据包，通过对比分析，发现

正确数据包会在此处提醒为success，那么只需要找异常流量即可

找到唯一一个error块，提交后正确

IC卡分析

直接010进行diff寻找不同

参考了一些ic卡的文章进行分析，发现规律，金额是两个字节存储，按4字节为一组，前俩字节是数据，后俩字节是校验，校验方式为异或

后续数据进行提取，

7B 00 00 00 A6 FF FF FF 30 00 00 00
75 00 00 00 A0 FF FF FF 34 00 00 00
72 00 00 00 9A FF FF FF 5F 00 00 00
31 00 00 00 96 FF FF FF 6B 00 00 00
65 00 00 00 A0 FF FF FF 6D 00 00 00
79 00 00 00 A0 FF FF FF 73 00 00 00
69 00 00 00 8C FF FF FF 74 00 00 00
65 00 00 00 8D FF FF FF 7D 00 00 00

四字节一组，前面直接取值，后面进行XOR即可。

内存取证分析。

raw文件，导入kali进行取证分析

题目描述说遭遇攻击，看看有无可疑进程

别的没找到，找到个notepad，直接搜有无flag文件好了

两个文件，dump出来发现加密，strings就可以解开

S7Comm 攻击协议分析

对比COTP报文，找到可疑数据

尝试提交，flag正确

flag{11e00205}

梯形图分析1

下载后获得博图v16的工程文件，导入

此处直接开启仿真

将程序下载到仿真器内

勾选启用监视

最后启动cpu

获得数据，根据题目，将输入改为886，即可获得所需数值

梯形图2

同上，直接丢入仿真运行，根据题目输入获得数值

包上flag即可