2022网刃杯ics

​

目录

easyiec

Ncsubj

喜欢移动的黑客

xyp07

ICS6-LED_BOOM

---

根据大佬的wp后，自己做了一遍

这次学到很多东西

ICS

easyiec

tcp追踪流直接能看到

​编辑

Ncsubj

首先先打开数据包进行查看，并追踪一下tcp流看看有没有什么收获信息

​编辑

有3段被分开的base64编码，那就直接合起来解密

anx1fG58Z3xufGF8cHxmfGh8b3x3fHJ8cHxnfA==

​编辑

j|u|n|g|n|a|p|f|h|o|w|r|p|g| ​编辑

这个flag是我看大佬们解析做出来的，这个flag不太明显

flag{whatancsubject}

喜欢移动的黑客

题目描述：Monkey是一家汽修厂的老板，日常喜欢改装车，但由于发动机的转速有上限，发动机最多能接受10000转/分钟的转速，Monkey在最新一次对发动机转速进行测试时发生了故障，机械师阿张排查时测试期间，有一些异常的流量，请根据阿张捕获的流量包分析发动机的转速达到了多少转才出现的故障,flag为flag{data+包号}

解压后发现打不开 丢入winhex 前四个字节不对，修改为 0A 0D 0D 0A

​编辑

​编辑

根据题目中提示，转速的话过滤器输入modbus，锁定数据包，同时也发现红有data（十六进制数据）数据陆续出现

​编辑

10000转16最少2710

​编辑

筛选数据包modbus.data>2710

​编辑

发现存在两个数据包的data值为2766，10进制数为10086，包号分别为68156和68168

根据题目要求，flag为flag{data+包号}

可能情况

flag{276668156}

flag{276668158}

flag{2766+68156}

flag{2766+68158}

flag{1008668156}

flag{1008668158}

flag{10086+68156}

flag{10086+68158}

经测试最终flag为：

flag{1008668156}

xyp07

题目描述：电气公司的师傅九爷今日收了他的第七个徒弟，取名做小七，九爷生来喜欢7这个数字，于是决定重点培养小七，于是便给小七出了一道测试题，初入行业的小七显得不知所措，你能帮助他解决这个问题么？

打开压缩包，发现要密码，但是在备注发现一串base64字符串

​编辑

base64字符Vm0weGQxRXlTWGxVV0d4V1YwZFNVRlpyV25kWlZsSllZMFZrVmxKdVFsaFdNalZMWWtkS1IxTnFSbGhYU0VKNlZsWmFWMVpWTVVWaGVqQTk=

一直base64解码 得到Xyp77&7&77

​编辑

打开数据包

追流1发现有一串编码，直接一键解码即可

​编辑

​编辑

得到flag

flag{welcome_S7_world_xyp07}

ICS6-LED_BOOM 

攻击者DOM在打入核电站内网后，成功拿到一台上位机，并进行了非法操作，我们的监测组发现核电站内的LED灯间断的闪烁了三下，你跟根据监测组留下的线索，成功破案攻击者的行为吗，提交形式为flag{}

tips:听说闪烁三次的行为对应三个返回包，将他们的包号排列组合会得到你要的结果

打开压缩包后发现有一串编码图片和流量包

​编辑

U2FsdGVkX19cOOV8qLVgcso8U4fse+7LirQKiHFkn9HU9BuwFAivH1siJXg/Rk6z

解码没有发现东西

​编辑

先打开数据包看看

流量包过滤s7comm协议的包，按照提示寻找三个响应包，按长度排序很容易发现长度为123仅有的3个包，并且数据中有LED On或者LED Of

​编辑

U2FsdGVkX19cOOV8qLVgcso8U4fse+7LirQKiHFkn9HU9BuwFAivH1siJXg/Rk6z

密钥：585692787

后来看大佬wp发现是AES解码

​编辑

flag{tietie_tietie_tiet13}

​