<
2019工业信息安全竞赛部分-writeup
>
上一篇

一次CSRF测试引发的思考
下一篇

代码审计之ThinkSNS v4.6.0最新版前台getshell

1.密码学-破解加密数据

获了一段密文:109930883401687215730636522935643539707,请进行解密

通过这道题又重新学习了下RSA加密。

题记 : 先简单介绍下

Rabin密码体制是RSA密码体制的一种,假定模数n=pqn=pq不能被分解,该类体制对于选择明文攻击是计算安全的。因此,Rabin密码体制提供了一个可证明安全的密码体制的例子:假定分解整数问题是整数上不可行的,那么Rabin密码体制是安全的。

Thm1 (Rabin密码体制)设n=pqn=pq,其中pp和qq是素数,且p,q≡3(mod4)p,q≡3(mod4),设P=C=Z⋆nP=C=Zn⋆,且定义 对K=(n,p,q)K=(n,p,q),定义 : $$ eK(x)=x2(modn)

和 dK=y√(modn) $$ n为公钥,p和q为私钥。

注:条件p,q≡3(mod4)可以省去,条件P=C=Zn⋆也可以弱化为P=C=Zn,只是在使用更多的限制性描述的时候,简化了许多方面的计算和密码体制分析。

题解

RSA-rabin加密,下载附件得到:

1565143203702

已知:

e=2

通过分解,得到p=13691382465774455051,q=1084126018911527523

编写脚本

1565143348399

得到:flag{flag_EnCryp1}

不了解RSA具体解法的可以参考:2019强网杯线上赛-强网先锋辅助

2.工控安全取证

下载得到一个日志文件

1565144893807

打开发现是乱码,查看一下文件类型:

file capture.log 发现是流量包数据,改名:capture.pcap

1565145174996

在155989找到第四个ping扫描数据包。

flag{155989}

3.恶意软件后门分析

IDA打开进行分

1565145948580

分析和反编译调用的函数,查看外连的ip地址,在函数sub_402174函数发现了一个外网ip,如下图,反编译进一步分析

1565146711601

发现,与本地10.15.1.68:3128端口进行了交互,并且发现有执行了/c sc 等命令,sc为window下cmd下执行的命令且格式为cmd模式下 sc 带参数执行。

1565146874837

找到后门IP:5.39.218.152.

flag{5.39.218.152}

4.隐藏的黑客

下载题目附件得到一个流量包:1.pcapng

分析HTTP流量,追踪流-HTTP,可以发现头PK…为一个压缩文件,

1565147451644

找到该数据包,在No.481位置通过导出字节流进行导出为zip

1565147609611

1565147750008

另一个比较简单的方法,也可直接用binwalk -Me就能把文件提取出来

1565147851910

导出的zip为2.5zip,发现还有另外一个压缩文件upload.zip

1565148179716

1565147957530

其中2.5.zip需要解压密码:

1565148032312

通过分析猜测解压密码需要从upload.zip得到。思路为:把upload里面的密码提取出来,然后用这个提取出来的密码去爆破

1565148337914

1565148390489

爆破成功。

1565148414276

5.简单流量分析

下载附件解压得到fetus_pcap.pcap

打开流量包如图:

20190807235634.png

数据包全部为ICMP协议。把这些包的字符串都取出来,去重后,取长度 在转成base64。

20190807235924.png

20190808000050.png

得到flag{xx2b8a_6mm64c_fsociety}

6.特殊的工控流量

下载附件得到流量包,发现为西门子协议类型数据包,提取出s7comm数据包。如下图:

1565151989025

这道题纯靠手工2333,从后门开始逐步往上找,查看数据包内容,在8860个包发现了比较特殊的数据包,一串16进制的数字。(本想写个脚本来着,既然找到了就算了,作为web狗刚开始接触工控第一次打工控的比赛,对应这种类型的还是需要脚本来分析会比较方便)

与之相关的工控比赛题解可以参考去年部分赛题

1565152004615

1565152025136

1565152044312

得到flag{is_not_real}

Top
Foot