工业控制（ICS）---IEC60870

IEC60870

参考：https://blog.csdn.net/song123sh/article/details/128388201

子协议
IEC101（任务相关）
IEC102（电量相关）
IEC103（保护相关）
IEC104（101的网络版）
IECASDU（基于101/104的应用服务数据单元传输）
主要技巧
筛选iec60870_asdu
关注IOA的值
可尝试用type进行分类

例题1 HNGK-奇怪的工控协议

看了下协议分布，最主要的modbus，不过iec60870_104和iec60870_asdu也不算少。

在modbus里面翻了半天也没看到啥有用的东西，然后去iec60870_104翻了下直接发现了flag。筛选条件iec60870_104，iec60870_asdu，分别查看IOA的值并看数据书否有异常或奇怪的地方

_ws.col.protocol == “IEC 60870-5 ASDU”
flag为：
flag{sort104}

例题2 HNGK-协议分析

发现此题目存在多个连接，按分组筛选iec60870_asdu && tcp.stream == 0

发现有些数据包是报错的，正确的包应该含有IOA的值iec60870_asdu && tcp.stream == 0 && iec60870_asdu.normval

还有五百多条数据，剩下的可以以TypeID为条件筛选，一个一个筛过去

(((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid == 34)发现IOA的值对应的基本都是乱码，或者发现还有三百多条数据判断他是正常的

最后在typeid=9处发现两个等号收尾的以两字节为一组的数据

((((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid != 34)) && (iec60870_asdu.typeid != 9)

将其提取出来解base64错误，发现开头mZhx，而flag的base64对应值为Zmxh，猜测是前后颠倒两两一组

得到flag

原文地址：https://blog.csdn.net/qq_25954259/article/details/137827559

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！