工业控制(ICS)---IEC60870
IEC60870
参考:https://blog.csdn.net/song123sh/article/details/128388201
子协议
IEC101(任务相关)
IEC102(电量相关)
IEC103(保护相关)
IEC104(101的网络版)
IECASDU(基于101/104的应用服务数据单元传输)
主要技巧
筛选iec60870_asdu
关注IOA的值
可尝试用type进行分类
例题1 HNGK-奇怪的工控协议
看了下协议分布,最主要的modbus,不过iec60870_104和iec60870_asdu也不算少。
在modbus里面翻了半天也没看到啥有用的东西,然后去iec60870_104翻了下直接发现了flag。筛选条件iec60870_104,iec60870_asdu,分别查看IOA的值并看数据书否有异常或奇怪的地方
_ws.col.protocol == “IEC 60870-5 ASDU”
flag为:
flag{sort104}
例题2 HNGK-协议分析
发现此题目存在多个连接,按分组筛选iec60870_asdu && tcp.stream == 0
发现有些数据包是报错的,正确的包应该含有IOA的值iec60870_asdu && tcp.stream == 0 && iec60870_asdu.normval
还有五百多条数据,剩下的可以以TypeID为条件筛选,一个一个筛过去
(((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid == 34)发现IOA的值对应的基本都是乱码,或者发现还有三百多条数据判断他是正常的
最后在typeid=9处发现两个等号收尾的以两字节为一组的数据
((((iec60870_asdu && tcp.stream == 0)) && (iec60870_asdu.normval)) && (iec60870_asdu.typeid != 34)) && (iec60870_asdu.typeid != 9)
将其提取出来解base64错误,发现开头mZhx,而flag的base64对应值为Zmxh,猜测是前后颠倒两两一组
得到flag
原文地址:https://blog.csdn.net/qq_25954259/article/details/137827559
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!