工控CTF之协议分析9——其他协议

工控CTF之协议分析6——s7comm

某组织通过特殊手段获取到了城市供水企业的某些流量数据。作为安全研究人员需要分析出其中特殊流量数据，已知流量包为s7comm协议通信数据，流量中存在一条异常写入的数据。请尝试找出异常流量的ascii数据流。

2021CTF工业信息安全技能大赛-异常的s7comm 工程师小夏在针对西门子300PLC设备不定期的停止运行，发现设备存在异常外联控制，再对审计设备进行分析中发现数据包中存在异常的eth.trailer、eth.fcs,请您帮助小夏找到外联地址并发送异常的HEX，对服务器返回的HEX进行解密。flag格式为:flag{}。 使用工具：Wireshark、NetCat、TEA加密/解密、CaptfEncoder、科来网络分析系统 11 技术交流版、NMAP 解题步骤： 1.1、对数据包进行重放发现400、4

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar

工控领域的TCP协议，有时wireshark会将response包解析为tcp协议，影响做题，如果筛选mms时出现连续request包，考虑wireshark解析错误，将筛选条件删除手动看一下。我们在SCADA 工程中写入了flag字段，请获取该工程flag，flag形式为 flag{}。工业网络中存在异常，尝试通过分析PCAP流量包，分析出流量数据中的异常点，并拿到FLAG。格式为 flag{}某10段工控网络中，工业协议中存在异常数据。2019-工业信息安全技能大赛-深圳站-工业协议分析1。

本文提供西门子S7comm协议实战指南，涵盖从Wireshark抓包到CTF解题的全流程。通过解析协议结构、核心字段（如ROSCTR和Function）及Wireshark过滤技巧，结合典型CTF案例，详细演示如何从工控网络流量中识别异常操作、提取并解码隐藏数据，最终高效定位flag。

工控CTF之协议分析1——Modbus

本篇通过从工控程序分析、固件分析、无线电中频谱、波形以及编解码分析、组态分析、梯形图等题目有助于更好的入门工控CTF。

工控CTF题目主要以流量分析、无线电分析、组态分析、梯形图等方向为主，偶尔有逆向分析、日志分析等相关分析题目。相关赛事较少，赛事主办方以政府为主，常见的有每年的ICSC/IISC国赛及其各省的选拔赛/省赛。线下赛有工业网络渗透实战、工业应急响应等赛制，主要考察渗透和运维能力。本篇因csdn存在图片数量限制，本篇只是总结了工控ctf中协议分析相关题目的解题方法。对于工控ctf中逆向分析、组态分析、梯形图相关题目放到下一章节进行讲解。

因为是plc的关机，我们直接过滤s7comm协议的内容然后是提供info的排序我们可以根据这个进行分析在plc中ack_data是对于job的响应这里ack_data返回了plc的stop即题目中描述的plc关机，而关机的发出属于job的信息所以我们去查找job里面的内容和ack_data里面的三次关机对应，共发出了三次stop根据题目flag{3201414D}

0x01 赛题说明 赛题说明： 只能变电站通过 61850 规约进行监控层到间隔层的数据采集，请分析网络数据包，了解 MMS 规约，进一步发现数据中隐藏的 flag。 题目:question_1531222544_JYvFGmLP49PFC0R2.pcap.zip(下载见最下方的百度云传送门) 0x02 背景知识 MMS即制造报文规范，是ISO/IEC9506标准所定义的一套用于工业控制系统...

工控比赛考察点采用 CTF 分类模型，总结分析当前工控 ICS 比赛中的关键点比赛类型考察点与 CTF 异同内网渗透Web 端渗透测试、CMS 系统、工控发布展示系统、数据库系统与 Web 渗透相关逆向分析固件分析、工控软件逆向实际场景逆向工控协议工控流量分析、Misc 类Misc 流量分析，工控场景流量特征工控编程PLC 组态、HMI 组态、RTU 组态等工控实...

S7协议恶意攻击分析 WP

在本次项目中，主要关注CA_PROTO_VERSION， CA_PROTO_SEARCH，CA_PROTO_RSRV_IS_UP，CA_PROTO_EVENT_ADD，CA_PROTO_READ，CA_PROTO_WRITE，CA_PROTO_CREATE_CHAN，CA_PROTO_CLIENT_NAME，CA_PROTO_HOST_NAME，CA_PROTO_ACCESS_RIGHTS等12条指令。举个形象的栗子，可以更加明晰的理解CA协议，比如部门的领导（客户端）和员工（服务端）之间的会话；

工控CTF之协议分析2——MMS

Message Type： [1b]消息的一般类型（有时称为ROSCTR类型），消息的其余部分在很大程度上取决于Message Type和功能代码。：主站发送的请求（例如读/写存储器，读/写块，启动/停止设备，通信设置） ：从站发送的简单确认没有数据字段（从未见过它由S300 / S400设备发送） ：带有可选数据字段的确认，包含对作业请求的回复 ：原始协议的扩展，参数字段包含请求/响应id，（用于编程/调试，SZL读取，安全功能，时间设置，循环读取…）： [2b]始终设置为0x0000（但可能忽略）PDU

文章目录黑客的大意 黑客的大意 下载后得到mail，在文件后面jpg 打开图片是一个这样的图片， 这里我们根据题目的意思： 黑客在入侵后不小心留下了这样一个文件，请分析文件进行溯源，找到黑客的邮箱。flag格式为flag{邮箱账号} 这里的主要关键词是对文件进行溯源,以及flag格式为邮箱账号 然后我们看文件有什么特征，然后发现下面有一句英文 ...

某工程师在运维中发现了设备的某些异常，怀疑可能遭受到了黑客的攻击，请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为：flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量，尝试通过分析流量包，分析出流量中的异常数据，并拿到FLAG，flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag，flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改，请分析其攻击数据，并找到其中的flag信息。

2022-2025年中国工业互联网安全大赛、陇剑杯、强核杯、工业信息安全技能大赛等网络安全竞赛（CTF、AWD）的WriteUp。