江西工控"振兴杯"初赛WriteUp技术解析<\/h1>

协议分析 - 被攻击的电机<\/h2>

分析步骤<\/h3>

流量包分析<\/strong>：<\/p>

打开提供的网络流量包文件<\/li>
使用过滤器筛选出写数据的包（通常使用Wireshark的过滤功能）<\/li> <\/ul> <\/li>

关键数据识别<\/strong>：<\/p>

在过滤结果中查找包含"13 88"的数据包<\/li>
特别注意数值大于3000的数据包<\/li> <\/ul> <\/li>

Flag提取<\/strong>：<\/p>

从符合条件的数据包中直接提取flag<\/li>
最终flag格式：flag{c90a00000006030600721388}<\/code><\/li> <\/ul> <\/li> <\/ol> Omron协议分析<\/h2> 分析步骤<\/h3> 协议过滤<\/strong>：<\/p> 使用Wireshark过滤器筛选出Omron协议相关的流量<\/li> <\/ul> <\/li> 异常流量识别<\/strong>：<\/p> 按数据包长度排序，查找异常长度的数据包<\/li> 重点关注长度为104的数据包<\/li> <\/ul> <\/li> 解密过程<\/strong>：<\/p> 从识别出的数据包中提取密文<\/li> 使用适当的解密方法（具体方法未在原文中详细说明）解密获得flag<\/li> <\/ul> <\/li> <\/ol> 组态编程 - 西门子组态分析<\/h2> 程序逻辑解析<\/h3> 程序段一<\/strong>：<\/p> 启动条件：按钮A按下且D点已接通<\/li> 动作：给C置位，使C对应的灯亮起<\/li> <\/ul> <\/li> 程序段二<\/strong>：<\/p> 启动条件：按钮B按下<\/li> 动作：给C复位，使C对应的灯熄灭<\/li> <\/ul> <\/li> 程序段三<\/strong>：<\/p> 启动条件：再次按下按钮B<\/li> 延时：等待12秒<\/li> 动作：给D复位<\/li> <\/ul> <\/li> 程序段四<\/strong>：<\/p> 启动条件：按钮E按下<\/li> 延时：等待10秒<\/li> 动作：给D置位<\/li> 连锁反应：D置位后，由于程序段一的条件满足，C也会被置位，灯再次亮起<\/li> <\/ul> <\/li> <\/ol> 正确操作流程<\/h3> 首先启动按钮A<\/li> 然后启动按钮E并等待10秒<\/li> 这样D会被置位，进而导致C被置位，灯亮起<\/li> <\/ol> Flag格式<\/h3> flag{E_10_D_1}<\/code><\/p> Smart编程分析<\/h2> 数据处理流程<\/h3> 初始转换<\/strong>：<\/p> VW100通过MOV_W函数将18转换为二进制：10010<\/code><\/li> <\/ul> <\/li> 位移操作<\/strong>：<\/p> VW104通过SHL_W函数将VW100左移3位：10010<\/code>左移3位=144<\/li> VW108通过SHR_W函数将VW104右移2位：144右移2位=36<\/li> <\/ul> <\/li> 表格操作<\/strong>：<\/p> 设置VW500为5（表格最大条目数）<\/li> 将VW108(36)加入表格，表格内容变为100100<\/code><\/li> 从表格中先进先出取出VW600=36<\/li> <\/ul> <\/li> 位运算<\/strong>：<\/p> 将240和VW600进行按位与运算：36&240=32<\/li> 结果存入VW700=32<\/li> <\/ul> <\/li> 数据类型转换与计算<\/strong>：<\/p> 将VW700转换为双整数VD704=32<\/li> VD704+17=VD708=49<\/li> 将VD708转换为实数VD712=49.0<\/li> 使用SQRT求VD712的平方根得到VD716=7.0<\/li> <\/ul> <\/li> 变量状态<\/strong>：<\/p> VW502未设置，默认为0<\/li> VW600=36<\/li> VD716=7.0<\/li> <\/ul> <\/li> <\/ol> Flag格式<\/h3> flag{0_36_7.0}<\/code><\/p> 恶意程序分析 - 勒索病毒<\/h2> 分析步骤<\/h3> 静态分析<\/strong>：<\/p> 使用IDA Pro分析exe文件<\/li> 发现对flag.txt文件的操作<\/li> <\/ul> <\/li> 加密文件分析<\/strong>：<\/p> 使用010editor打开加密的flag文件<\/li> 提取十六进制数据： 0B B0 B5 4E 89 4E 9D 03 93 1D 5B E5 10 E2 EA 13 10 BE 60 09 D8 16 4A F0 4B F8 CB C6 49 39 88 10 72 00 28 B6 0D 5A CB 49 FB 3D <\/code><\/pre> <\/li> <\/ul> <\/li> 解密准备<\/strong>：<\/p> 从参考链接获取key和nonce<\/li> key（32字节）： 75 2b cb 44 8b d1 70 53 e6 b5 5c c4 e6 ba 1b e8 75 6d 2d bb 03 89 9e b6 5e f5 a7 ef f6 de 5e e7 <\/code><\/pre> <\/li> nonce（12字节）： 4b f6 5b 44 e2 79 81 1c 36 7f 94 cc <\/code><\/pre> <\/li> <\/ul> <\/li> 解密脚本<\/strong>：<\/p> from<\/span> Crypto.Cipher import<\/span> ChaCha20 <\/span><\/span>from<\/span> Crypto.Protocol.KDF import<\/span> scrypt <\/span><\/span> <\/span><\/span># 定义加密数据<\/span> <\/span><\/span>data =<\/span> bytes([0x0B<\/span>, 0xB0<\/span>, 0xB5<\/span>, 0x4E<\/span>, 0x89<\/span>, 0x4E<\/span>, 0x9D<\/span>, 0x03<\/span>, 0x93<\/span>, 0x1D<\/span>, <\/span><\/span> 0x5B<\/span>, 0xE5<\/span>, 0x10<\/span>, 0xE2<\/span>, 0xEA<\/span>, 0x13<\/span>, 0x10<\/span>, 0xBE<\/span>, 0x60<\/span>, 0x09<\/span>, <\/span><\/span> 0xD8<\/span>, 0x16<\/span>, 0x4A<\/span>, 0xF0<\/span>, 0x4B<\/span>, 0xF8<\/span>, 0xCB<\/span>, 0xC6<\/span>, 0x49<\/span>, 0x39<\/span>, <\/span><\/span> 0x88<\/span>, 0x10<\/span>, 0x72<\/span>, 0x00<\/span>, 0x28<\/span>, 0xB6<\/span>, 0x0D<\/span>, 0x5A<\/span>, 0xCB<\/span>, 0x49<\/span>, <\/span><\/span> 0xFB<\/span>, 0x3D<\/span>]) <\/span><\/span> <\/span><\/span># 定义密钥和随机数(nonce)<\/span> <\/span><\/span>key =<\/span> bytes([0x75<\/span>, 0x2b<\/span>, 0xcb<\/span>, 0x44<\/span>, 0x8b<\/span>, 0xd1<\/span>, 0x70<\/span>, 0x53<\/span>, 0xe6<\/span>, 0xb5<\/span>, <\/span><\/span> 0x5c<\/span>, 0xc4<\/span>, 0xe6<\/span>, 0xba<\/span>, 0x1b<\/span>, 0xe8<\/span>, 0x75<\/span>, 0x6d<\/span>, 0x2d<\/span>, 0xbb<\/span>, <\/span><\/span> 0x03<\/span>, 0x89<\/span>, 0x9e<\/span>, 0xb6<\/span>, 0x5e<\/span>, 0xf5<\/span>, 0xa7<\/span>, 0xef<\/span>, 0xf6<\/span>, 0xde<\/span>, <\/span><\/span> 0x5e<\/span>, 0xe7<\/span>]) <\/span><\/span>nonce =<\/span> bytes([0x4b<\/span>, 0xf6<\/span>, 0x5b<\/span>, 0x44<\/span>, 0xe2<\/span>, 0x79<\/span>, 0x81<\/span>, 0x1c<\/span>, 0x36<\/span>, 0x7f<\/span>, <\/span><\/span> 0x94<\/span>, 0xcc<\/span>]) <\/span><\/span> <\/span><\/span># 初始化ChaCha20算法<\/span> <\/span><\/span>cipher =<\/span> ChaCha20.<\/span>new(key=<\/span>key, nonce=<\/span>nonce) <\/span><\/span> <\/span><\/span># 手动设置计数器为1（跳过第一个64字节块）<\/span> <\/span><\/span>cipher.<\/span>seek(64<\/span>) <\/span><\/span> <\/span><\/span>try<\/span>: <\/span><\/span> # 解密数据<\/span> <\/span><\/span> decrypted_data =<\/span> cipher.<\/span>decrypt(data) <\/span><\/span> print(decrypted_data) <\/span><\/span>except<\/span> Exception<\/span> as<\/span> e: <\/span><\/span> print(f<\/span>"An error occurred: <\/span>{<\/span>e}<\/span>"<\/span>) <\/span><\/span><\/code><\/pre><\/li> 执行结果<\/strong>：<\/p> 运行脚本后输出解密后的flag内容<\/li> <\/ul> <\/li> <\/ol> 应急处置 - 工程被加密<\/h2> 恢复步骤<\/h3> 工程打开<\/strong>：<\/p> 使用组态王7.5SP1软件打开被加密的工程<\/li> 会弹出密码输入窗口<\/li> <\/ul> <\/li> 密码绕过<\/strong>：<\/p> 直接关闭密码输入窗口<\/li> 点击软件菜单中的"工具"→"加密"<\/li> 在弹出的加密设置窗口中点击"确定"，这将取消密码保护<\/li> <\/ul> <\/li> 信息获取<\/strong>：<\/p> 重新打开工程<\/li> 查看操作记录图片，其中包含flag信息<\/li> <\/ul> <\/li> <\/ol> 固件分析 - 固件后门<\/h2> 分析步骤<\/h3> 文件解压<\/strong>：<\/p> 解压提供的bin固件文件<\/li> 查找可疑文件，特别是.pyc文件（Python编译文件）<\/li> <\/ul> <\/li> 反编译<\/strong>：<\/p> 使用Python反编译工具对.pyc文件进行反编译<\/li> 分析反编译得到的源代码<\/li> <\/ul> <\/li> 后门特征<\/strong>：<\/p> 在代码中发现硬编码的域名和端口<\/li> 域名格式：www.1sdfa4sdfdsgbnm098d8342kflgb.com<\/code><\/li> 端口号：38209<\/li> <\/ul> <\/li> <\/ol> Flag格式<\/h3> flag{www.1sdfa4sdfdsgbnm098d8342kflgb.com:38209}<\/code><\/p> 总结<\/h2> 本文档详细记录了2024江西工控"振兴杯"初赛各题目的解题过程和技术要点，涵盖协议分析、组态编程、恶意软件分析、应急处置和固件分析等多个工控安全领域。每个题目都提供了详细的分析步骤和关键点，可作为工控安全学习的参考资料。<\/p>

江西工控"振兴杯"初赛WriteUp技术解析<\/h1>

协议分析 - 被攻击的电机<\/h2>

Omron协议分析<\/h2>

组态编程 - 西门子组态分析<\/h2>

Flag格式<\/h3>
`flag{E_10_D_1}<\/code><\/p>`

Flag格式<\/h3>
`flag{0_36_7.0}<\/code><\/p>`

应急处置 - 工程被加密<\/h2>

固件分析 - 固件后门<\/h2>

Flag格式<\/h3>
`flag{www.1sdfa4sdfdsgbnm098d8342kflgb.com:38209}<\/code><\/p>`