2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup

本来报名了这个比赛的，但是后面给搞忘了，然后比赛完了之后才知道，Web没环境了，简单的来复现下唯一的一道Misc吧

题目下载链接：https://pan.baidu.com/s/17QbeqSeW0SsAYUrVKWn1zg
提取码：e4od

首先题目给了WIN-JTUST.raw和1.data文件，1.data看不出来啥文件，先对WIN-JTUST.raw进行内存镜像分析

root@kali /home/mochu7/Desktop % volatility -f WIN-JTUST.raw --profile=Win7SP1x86_23418 pslist                                                                                       /home/mochu7/Desktop
Volatility Foundation Volatility Framework 2.6
Offset(V)  Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0x8413aa20 System                    4      0     89      518 ------      0 2021-08-11 00:51:33 UTC+0000
0x854f3d40 smss.exe                224      4      2       32 ------      0 2021-08-11 00:51:33 UTC+0000
0x85a8d4a8 csrss.exe               304    296      9      388      0      0 2021-08-11 00:51:34 UTC+0000
0x841af030 wininit.exe             340    296      3       76      0      0 2021-08-11 00:51:35 UTC+0000
0x856d8d40 csrss.exe               352    332      9      264      1      0 2021-08-11 00:51:35 UTC+0000
0x85b9b530 winlogon.exe            380    332      7      134      1      0 2021-08-11 00:51:35 UTC+0000
0x85f072a0 services.exe            436    340      7      189      0      0 2021-08-11 00:51:35 UTC+0000
0x85f39558 lsass.exe               456    340      8      738      0      0 2021-08-11 00:51:36 UTC+0000
0x85f3ba58 lsm.exe                 468    340     10      223      0      0 2021-08-11 00:51:36 UTC+0000
0x85faaa08 svchost.exe             576    436     10      353      0      0 2021-08-11 00:51:36 UTC+0000
0x85fd5030 svchost.exe             648    436      8      261      0      0 2021-08-11 00:51:36 UTC+0000
0x84c93228 sppsvc.exe              864    436      5      156      0      0 2021-08-10 09:51:39 UTC+0000
0x841d0bf0 svchost.exe             904    436     20      469      0      0 2021-08-10 09:51:40 UTC+0000
0x84a44030 svchost.exe             928    436     38     1181      0      0 2021-08-10 09:51:40 UTC+0000
0x84ce9a40 svchost.exe             976    436     20      487      0      0 2021-08-10 09:51:40 UTC+0000
0x84cfc7f8 svchost.exe            1044    436     13      327      0      0 2021-08-10 09:51:41 UTC+0000
0x84cfd730 svchost.exe            1068    436     24      673      0      0 2021-08-10 09:51:41 UTC+0000
0x84d77178 spoolsv.exe            1384    436     13      285      0      0 2021-08-10 09:51:42 UTC+0000
0x84d88bd0 svchost.exe            1424    436     19      313      0      0 2021-08-10 09:51:42 UTC+0000
0x84e39748 svchost.exe            1736    436      6       94      0      0 2021-08-10 09:51:43 UTC+0000
0x85b84d40 SearchIndexer.         2028    436     13      698      0      0 2021-08-10 09:51:51 UTC+0000
0x85a93690 taskhost.exe            836    436      8      212      1      0 2021-08-10 09:51:52 UTC+0000
0x84e7d5b0 dwm.exe                1292    904      3       72      1      0 2021-08-10 09:51:52 UTC+0000
0x84e8e030 explorer.exe           1460   1248     29      883      1      0 2021-08-10 09:51:52 UTC+0000
0x84fcf030 regsvr32.exe           2344   1460      0 --------      1      0 2021-08-10 09:51:54 UTC+0000   2021-08-10 09:51:55 UTC+0000
0x84fe8880 csrss.exe              3848   3824      7       75      3      0 2021-08-10 09:53:08 UTC+0000
0x842c43a8 winlogon.exe           3872   3824      4       95      3      0 2021-08-10 09:53:08 UTC+0000
0x8544dbd0 LogonUI.exe            3928   3872      6      161      3      0 2021-08-10 09:53:08 UTC+0000
0x842c4d40 rdpclip.exe            4012   1068      8      160      1      0 2021-08-10 09:53:09 UTC+0000
0x8546db68 svchost.exe            3176    436     12      140      0      0 2021-08-10 09:53:43 UTC+0000
0x84cc4370 mscorsvw.exe           3276    436      6       87      0      0 2021-08-10 09:53:43 UTC+0000
0x84e79b50 svchost.exe             196    436      9      313      0      0 2021-08-10 09:53:43 UTC+0000
0x84fd6030 TrueCrypt.exe          3512   1460      4      255      1      0 2021-08-10 09:53:47 UTC+0000
0x84a2e748 notepad.exe            1732   1460     14      269      1      0 2021-08-10 10:02:04 UTC+0000
0x84347030 audiodg.exe            2664    976      7      153      0      0 2021-08-10 10:15:43 UTC+0000
0x842e1d40 dllhost.exe            2512    576      6       82      1      0 2021-08-10 10:22:46 UTC+0000
0x84d1d030 dllhost.exe            2888    576      6       79      0      0 2021-08-10 10:22:46 UTC+0000
0x84ba9540 DumpIt.exe             2044   1460      1       18      1      0 2021-08-10 10:22:46 UTC+0000
0x84f18d40 conhost.exe            2336    352      2       47      1      0 2021-08-10 10:22:46 UTC+0000
root@kali /home/mochu7/Desktop %

有几个可疑的进程：notepad.exe、TrueCrypt.exe

那么猜测1.dat就是TrueCypt的加密磁盘了，但是用EFDD没法破解出来key，猜测可能加密磁盘的密码在别的地方，这是win7，notepad插件用不了，用editbox查看编辑控件信息。

一开始以为这只是个标识罢了，没认为这是密码，后面实在没找到别的密码了，就试了下还真是
使用TrueCrypt挂载

得到1.key和hint.txt

Have you heard of hidden encrypted volumes?Here is the KEY file, Admin usually use the same password

众所周知，TrueCrypt、VeraCrypt对于不同的密码可以打开不同的加密卷，提示另一个密码可能是Admin用户的账号密码，1.key应该是TrueCrypt挂载时的keyfiles

PasswareKit内存分析WIN-JTUST.raw得到Admin账户密码：P@ssw0rd2021

得到ics.pcapng

打开分析发现FTP传输了一个2021.hwdev

先把这个文件提取出来

tshark -r ics.pcapng -T fields -Y "ftp-data" -e "tcp.payload" > hwdev.txt

把前两行去掉，因为它并不是2021.hwdev开始传输的数据

Python简单转换一下

with open('hwdev.txt', 'r') as f:lines = f.readlines()hexdata = ''for line in lines:hexdata += line.strip()
with open('2021.hwdev', 'wb') as f1:f1.write(bytes.fromhex(hexdata))

然后就是利用搜索引擎寻找.hwdev文件的信息，最终找到这个：https://blog.csdn.net/gkbxs/article/details/126872370

然后在海为官网能找到组态软件的信息：http://haiwell.com/products/98.html

海为官方提供的软件下载：http://www.haiwell.com/download/list-34-cn.html

然后就是下载安装(下3.33.1.3的版本就行)
官网没法下的这里(我从官方下的，因为写这篇文章时候忽然发现没法打开下载页面了，贴个我之前从官网下的)

链接：https://pan.baidu.com/s/1AyfGQ0B39zVzcyyzHk_XxA
提取码：5b8g

HaiwellScada3_Setup(3.21.5.2).exe安装打开会报错如下，直接无法打开

HaiwellScada3_Setup(3.33.1.3).exe安装打开会有提醒，但是进去切换平台就可以打开

安装好之后使用Haiwell Cloud Scada Designer打开，有提醒就点继续就行

打开之后经过一番寻找，发现外设的摄像头2/4/6的序列号有值，而1/3/5没有，比较奇怪

摄像头2的序列号：2i9Q8AtDZQdXJn25rqgZW
摄像头4的序列号：YvuKA8QvGWb2oZNt2Hrc
摄像头6的序列号：VBQa6DmKrn7VVDuEU

看特征猜测base64或者base58

2i9Q8AtDZQdXJn25rqgZWYvuKA8QvGWb2oZNt2HrcVBQa6DmKrn7VVDuEU

basecrack: https://basecrack.herokuapp.com/

flag{294915b7-bd1d-4923-9339-0b55722fdee6}

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup相关推荐

2021年中国工业互联网安全大赛核能行业赛道writeup之日志分析
附件题:日志分析题目描述: 核电站新来的运维小王粗心把一个办公网地址映射到外网,遭到大量攻击,你能从日志当中找到有效信息吗. 附件下载: 2021-10-12T15_37_51.610646+00_ ...
2021年中国工业互联网安全大赛核能行业赛道writeup之入门的黑客
附件题:入门的黑客题目描述: 在某次工控攻防演练中,防守方使用蜜罐捕捉到了某黑客在入侵时留下的恶意程序样本,现在要对该黑客进行画像,需要从该恶意程序中分析出反连时的IP和端口信息,看看聪明的你能否能 ...
2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录一.USB协议二.键盘流量三.鼠标流量四.writeup 附件题:usb流量分析题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
2021年中国工业互联网安全大赛核能行业赛道writeup之传统流量取证
附件题:传统流量取证题目描述: 在某次攻防演练中,小王发现流量探针平台突然告警,小王第一时间下载了告警流量包,并进行分析:发现攻击队攻击在攻入内网后,利用了一个内网OA的一个漏洞,获取了某机器权限, ...
2021年中国工业互联网安全大赛核能行业赛道writeup之Webshell密码
附件题:Webshell密码题目描述: 某次攻防演练中,抓到了一个webshell的流量,请分析出密码,flag形式:flag{密码} 附件下载: https://download.csdn.net ...
2021年中国工业互联网安全大赛核能行业赛道writeup之数据库登录
附件题:数据库登录(一道MISC.流量分析类型题目) 题目描述: 具体描述已经忘记o(╯□╰)o 大概意思就是分析附件里的.pcapng包,找到flag.流量涉及到 MySQL 数据库了. 附件下载: ...
2021年中国工业互联网安全大赛核能行业赛道writeup之鱿鱼游戏
目录一.尝试二.Writeup 附加题鱿鱼游戏(来自最近一部很火的韩剧) 题目描述: 小王由于操作不规范,误将不明U盘插入到上位机中,导致上位机中的某些关键文件被加密,但攻击者在U盘中还留下了一 ...
2021年中国工业互联网安全大赛核能行业赛道writeup之机房密码
附件题:机房密码题目描述: (具体描述忘记了) 经过黑客人员的不屑努力,在上位机上发现了登录密码的一半信息,剩下的一半要靠你们继续努力辣!!! ZmxhZyU3Qmgwd19hX0M= 附件下载: ...
2021年中国工业互联网安全大赛核能行业赛道writeup之隐写
附件题:隐写题目描述:隐写附件下载: 2021-10-12T15_44_19.174914+00_00scene.jpg.zip-网络攻防文档类资源-CSDN下载先用 010Editor 查 ...
2021年中国工业互联网安全大赛核能行业赛道writeup之hacker
附加题 hacker,题目描述:hacker,附件下载 hackerhttps://download.csdn.net/download/qpeity/33230528解压缩得到一个EXE文件 ARE ...

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup

2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup相关推荐

最新文章

热门文章