2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup
本来报名了这个比赛的,但是后面给搞忘了,然后比赛完了之后才知道,Web没环境了,简单的来复现下唯一的一道Misc吧
题目下载链接:https://pan.baidu.com/s/17QbeqSeW0SsAYUrVKWn1zg
提取码:e4od
首先题目给了WIN-JTUST.raw
和1.data
文件,1.data
看不出来啥文件,先对WIN-JTUST.raw
进行内存镜像分析
root@kali /home/mochu7/Desktop % volatility -f WIN-JTUST.raw --profile=Win7SP1x86_23418 pslist /home/mochu7/Desktop
Volatility Foundation Volatility Framework 2.6
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x8413aa20 System 4 0 89 518 ------ 0 2021-08-11 00:51:33 UTC+0000
0x854f3d40 smss.exe 224 4 2 32 ------ 0 2021-08-11 00:51:33 UTC+0000
0x85a8d4a8 csrss.exe 304 296 9 388 0 0 2021-08-11 00:51:34 UTC+0000
0x841af030 wininit.exe 340 296 3 76 0 0 2021-08-11 00:51:35 UTC+0000
0x856d8d40 csrss.exe 352 332 9 264 1 0 2021-08-11 00:51:35 UTC+0000
0x85b9b530 winlogon.exe 380 332 7 134 1 0 2021-08-11 00:51:35 UTC+0000
0x85f072a0 services.exe 436 340 7 189 0 0 2021-08-11 00:51:35 UTC+0000
0x85f39558 lsass.exe 456 340 8 738 0 0 2021-08-11 00:51:36 UTC+0000
0x85f3ba58 lsm.exe 468 340 10 223 0 0 2021-08-11 00:51:36 UTC+0000
0x85faaa08 svchost.exe 576 436 10 353 0 0 2021-08-11 00:51:36 UTC+0000
0x85fd5030 svchost.exe 648 436 8 261 0 0 2021-08-11 00:51:36 UTC+0000
0x84c93228 sppsvc.exe 864 436 5 156 0 0 2021-08-10 09:51:39 UTC+0000
0x841d0bf0 svchost.exe 904 436 20 469 0 0 2021-08-10 09:51:40 UTC+0000
0x84a44030 svchost.exe 928 436 38 1181 0 0 2021-08-10 09:51:40 UTC+0000
0x84ce9a40 svchost.exe 976 436 20 487 0 0 2021-08-10 09:51:40 UTC+0000
0x84cfc7f8 svchost.exe 1044 436 13 327 0 0 2021-08-10 09:51:41 UTC+0000
0x84cfd730 svchost.exe 1068 436 24 673 0 0 2021-08-10 09:51:41 UTC+0000
0x84d77178 spoolsv.exe 1384 436 13 285 0 0 2021-08-10 09:51:42 UTC+0000
0x84d88bd0 svchost.exe 1424 436 19 313 0 0 2021-08-10 09:51:42 UTC+0000
0x84e39748 svchost.exe 1736 436 6 94 0 0 2021-08-10 09:51:43 UTC+0000
0x85b84d40 SearchIndexer. 2028 436 13 698 0 0 2021-08-10 09:51:51 UTC+0000
0x85a93690 taskhost.exe 836 436 8 212 1 0 2021-08-10 09:51:52 UTC+0000
0x84e7d5b0 dwm.exe 1292 904 3 72 1 0 2021-08-10 09:51:52 UTC+0000
0x84e8e030 explorer.exe 1460 1248 29 883 1 0 2021-08-10 09:51:52 UTC+0000
0x84fcf030 regsvr32.exe 2344 1460 0 -------- 1 0 2021-08-10 09:51:54 UTC+0000 2021-08-10 09:51:55 UTC+0000
0x84fe8880 csrss.exe 3848 3824 7 75 3 0 2021-08-10 09:53:08 UTC+0000
0x842c43a8 winlogon.exe 3872 3824 4 95 3 0 2021-08-10 09:53:08 UTC+0000
0x8544dbd0 LogonUI.exe 3928 3872 6 161 3 0 2021-08-10 09:53:08 UTC+0000
0x842c4d40 rdpclip.exe 4012 1068 8 160 1 0 2021-08-10 09:53:09 UTC+0000
0x8546db68 svchost.exe 3176 436 12 140 0 0 2021-08-10 09:53:43 UTC+0000
0x84cc4370 mscorsvw.exe 3276 436 6 87 0 0 2021-08-10 09:53:43 UTC+0000
0x84e79b50 svchost.exe 196 436 9 313 0 0 2021-08-10 09:53:43 UTC+0000
0x84fd6030 TrueCrypt.exe 3512 1460 4 255 1 0 2021-08-10 09:53:47 UTC+0000
0x84a2e748 notepad.exe 1732 1460 14 269 1 0 2021-08-10 10:02:04 UTC+0000
0x84347030 audiodg.exe 2664 976 7 153 0 0 2021-08-10 10:15:43 UTC+0000
0x842e1d40 dllhost.exe 2512 576 6 82 1 0 2021-08-10 10:22:46 UTC+0000
0x84d1d030 dllhost.exe 2888 576 6 79 0 0 2021-08-10 10:22:46 UTC+0000
0x84ba9540 DumpIt.exe 2044 1460 1 18 1 0 2021-08-10 10:22:46 UTC+0000
0x84f18d40 conhost.exe 2336 352 2 47 1 0 2021-08-10 10:22:46 UTC+0000
root@kali /home/mochu7/Desktop %
有几个可疑的进程:notepad.exe
、TrueCrypt.exe
那么猜测1.dat
就是TrueCypt
的加密磁盘了,但是用EFDD
没法破解出来key
,猜测可能加密磁盘的密码在别的地方,这是win7
,notepad
插件用不了,用editbox
查看编辑控件信息。
一开始以为这只是个标识罢了,没认为这是密码,后面实在没找到别的密码了,就试了下还真是
使用TrueCrypt
挂载
得到1.key
和hint.txt
Have you heard of hidden encrypted volumes?Here is the KEY file, Admin usually use the same password
众所周知,TrueCrypt
、VeraCrypt
对于不同的密码可以打开不同的加密卷,提示另一个密码可能是Admin
用户的账号密码,1.key
应该是TrueCrypt
挂载时的keyfiles
PasswareKit
内存分析WIN-JTUST.raw
得到Admin
账户密码:P@ssw0rd2021
得到ics.pcapng
打开分析发现FTP传输了一个2021.hwdev
先把这个文件提取出来
tshark -r ics.pcapng -T fields -Y "ftp-data" -e "tcp.payload" > hwdev.txt
把前两行去掉,因为它并不是2021.hwdev
开始传输的数据
Python简单转换一下
with open('hwdev.txt', 'r') as f:lines = f.readlines()hexdata = ''for line in lines:hexdata += line.strip()
with open('2021.hwdev', 'wb') as f1:f1.write(bytes.fromhex(hexdata))
然后就是利用搜索引擎寻找.hwdev
文件的信息,最终找到这个:https://blog.csdn.net/gkbxs/article/details/126872370
然后在海为官网能找到组态软件的信息:http://haiwell.com/products/98.html
海为官方提供的软件下载:http://www.haiwell.com/download/list-34-cn.html
然后就是下载安装(下3.33.1.3
的版本就行)
官网没法下的这里(我从官方下的,因为写这篇文章时候忽然发现没法打开下载页面了,贴个我之前从官网下的)
链接:https://pan.baidu.com/s/1AyfGQ0B39zVzcyyzHk_XxA
提取码:5b8g
HaiwellScada3_Setup(3.21.5.2).exe
安装打开会报错如下,直接无法打开
HaiwellScada3_Setup(3.33.1.3).exe
安装打开会有提醒,但是进去切换平台就可以打开
安装好之后使用Haiwell Cloud Scada Designer
打开,有提醒就点继续就行
打开之后经过一番寻找,发现外设的摄像头2/4/6
的序列号有值,而1/3/5
没有,比较奇怪
摄像头2的序列号:2i9Q8AtDZQdXJn25rqgZW
摄像头4的序列号:YvuKA8QvGWb2oZNt2Hrc
摄像头6的序列号:VBQa6DmKrn7VVDuEU
看特征猜测base64
或者base58
2i9Q8AtDZQdXJn25rqgZWYvuKA8QvGWb2oZNt2HrcVBQa6DmKrn7VVDuEU
basecrack: https://basecrack.herokuapp.com/
flag{294915b7-bd1d-4923-9339-0b55722fdee6}
2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup相关推荐
- 2021年中国工业互联网安全大赛核能行业赛道writeup之日志分析
附件题:日志分析 题目描述: 核电站新来的运维小王粗心把一个办公网地址映射到外网,遭到大量攻击,你能从日志当中找到有效信息吗. 附件下载: 2021-10-12T15_37_51.610646+00_ ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之入门的黑客
附件题:入门的黑客 题目描述: 在某次工控攻防演练中,防守方使用蜜罐捕捉到了某黑客在入侵时留下的恶意程序样本,现在要对该黑客进行画像,需要从该恶意程序中分析出反连时的IP和端口信息,看看聪明的你能否能 ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录 一.USB协议 二.键盘流量 三.鼠标流量 四.writeup 附件题:usb流量分析 题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之传统流量取证
附件题:传统流量取证 题目描述: 在某次攻防演练中,小王发现流量探针平台突然告警,小王第一时间下载了告警流量包,并进行分析:发现攻击队攻击在攻入内网后,利用了一个内网OA的一个漏洞,获取了某机器权限, ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之Webshell密码
附件题:Webshell密码 题目描述: 某次攻防演练中,抓到了一个webshell的流量,请分析出密码,flag形式:flag{密码} 附件下载: https://download.csdn.net ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之数据库登录
附件题:数据库登录(一道MISC.流量分析类型题目) 题目描述: 具体描述已经忘记o(╯□╰)o 大概意思就是分析附件里的.pcapng包,找到flag.流量涉及到 MySQL 数据库了. 附件下载: ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之鱿鱼游戏
目录 一.尝试 二.Writeup 附加题 鱿鱼游戏(来自最近一部很火的韩剧) 题目描述: 小王由于操作不规范,误将不明U盘插入到上位机中,导致上位机中的某些关键文件被加密,但攻击者在U盘中还留下了一 ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之机房密码
附件题:机房密码 题目描述: (具体描述忘记了) 经过黑客人员的不屑努力,在上位机上发现了登录密码的一半信息,剩下的一半要靠你们继续努力辣!!! ZmxhZyU3Qmgwd19hX0M= 附件下载: ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之隐写
附件题:隐写 题目描述:隐写 附件下载: 2021-10-12T15_44_19.174914+00_00scene.jpg.zip-网络攻防文档类资源-CSDN下载 先用 010Editor 查 ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之hacker
附加题 hacker,题目描述:hacker,附件下载 hackerhttps://download.csdn.net/download/qpeity/33230528解压缩得到一个EXE文件 ARE ...
最新文章
- QueryPerformanceFrequency用法--Windows高精度定时计数
- reactjs 兄弟通信,父子通信
- 全球容器技术大会议题一览
- 美酒节成就及任务攻略指引
- Python pip使用国内镜像
- 你和阿里资深架构师之间,差的不仅仅是年龄(进阶必看)
- LeetCode 671. 二叉树中第二小的节点
- Mybatis-Pagehelper
- 深度学习之----双线性插值,转置卷积,反卷积的区别与联系
- 计算机专业简述,简述计算机专业毕业论文完整版.doc
- 绕开“陷阱“,阿里专家带你深入理解C++对象模型的特殊之处
- JS中style属性
- 硫自养反硝化滤池处理城市二级出水研究
- 解决phpstudy的mysql secure_file_priv 为null
- OAUS自动升级系统
- 如何找回电脑回收站删除的文件, 10种恢复工具方法!
- Linux下lsof命令详解
- 游戏企业通关秘籍:华为云游戏全场景能力,开发+部署+运营“关关难过关关过”...
- 想考红帽认证工程师常见问题解答
- php贴吧源码,FluxBB v1.5.11 php论坛贴吧源码下载