2019 工业信息安全技能大赛-山东站 WriteUp
组织架构:
指导单位:国家工业信息安全发展研究中心、山东省工业和信息化厅
主办单位:山东省电子信息产品检验院(中国赛宝(山东)实验室)
承办单位:国网山东省电力公司电力科学研究院、山东云天安全大数据技术有限公司、山东省工业信息安全产业发展联盟
技术支撑单位:杭州安恒信息技术股份有限公司
Misc
另一个隐藏的黑客(SDR 软件无线电信号分析)

导入到 Audition 里查看频谱。可以隐约看到 flag 字样,硬看加猜得到 flag

1 | flag{too simple too young} |
特殊的工控流量(S7comm 协议)

查看会话发现第一组是最多的,服务器是 10.10.10.10:102

附件有问题没找到 flag
1 | flag{is_not_real} |
隐藏的黑客(ZIP 爆破)

在流量包中可以找到传输的压缩包

导出解压发现需要密码,于是解压给的另一个 upload.zip
里面全是一句话木马

将里面的密码当作解压密码去爆破

拿到 flag
1 | flag{9a72c3d5e74f6051bb3b3590fa9319fe} |
恶意软件后门分析(签到)


工控安全取证(TCP 协议)

可以看到 Address A 出现了四个 IP

可以看到 192.168.0.254 是在 192.168.0.199 之前的
所以 flag 就是 flag{155989}

奇怪的文件(ZIP 文件格式 + ZIP 爆破 + PYC 反编译 + LSB 隐写)

附件为 3 个部分,首先给每个添加 504b 之后拼接到一起得到加密的 ZIP 压缩包,但是压缩包显然是有问题的
把压缩包拖入 010Editor 对比之后发现,part1 缺少了 CRC 校验数据,part2 缺少了文件名

将缺失的数据补齐之后,就可以获得正常的压缩包了
然后使用大写小写数字爆破密码为 GyxXaq9
之后解压得到一张图片,在图片尾部发现一段数据
把这段数据单独拉出来,翻到末尾看起来像是一个倒序的 ZIP 文件

恢复为正常的文件打开新的 ZIP 文件得到 enc.pyc 文件
反编译出伪代码如下
1 | import random |
因为 key 生成函数中定义了种子始终为 10,所以加解密使用的 key 都一样,为 aSRWXWkhOlteQ3M0
查看算法为异或,直接再次调用加密函数即可解密出一个 PNG 图片
LSB 隐写爆破出的密码为 U!lSb29,提取出一个 JPG 图片
修改字体大小即可看到 flag
得到 flag:flag{2ceuagIha7v8mlfod9uas1d86wqer0}
恶意软件样本分析(签到)

nc 监听 1502/udp 端口,然后把程序跑起来,用 WireShark 抓包

flag 就是:flag{0100000001fc}