工控安全CTF入门小记

知识库

工控安全入门分析

https://www.anquanke.com/post/id/82383

工控安全基础概念初探

http://blog.b3ale.cn/2020/06/24/%E5%B7%A5%E6%8E%A7%E5%AE%89%E5%85%A8%E5%9F%BA%E7%A1%80%E6%A6%82%E5%BF%B5%E5%88%9D%E6%8E%A2/

ICS_CTF Contest

https://ctf-wiki.github.io/ctf-wiki/ics/ctfs-zh/

工控安全-Freebuf

https://search.freebuf.com/search/?search=%E5%B7%A5%E6%8E%A7%E5%AE%89%E5%85%A8#article

工控安全系列文章

https://www.anquanke.com/member/141205

深度解析工控网络流量特点

https://www.freebuf.com/articles/ics-articles/167079.html

工控CTF技能点学习总结

https://zhuanlan.zhihu.com/p/93070821

Siemens PLC指纹提取方法汇总

https://www.jianshu.com/p/75edadd2abbf

ZoomEye工控专题

http://ics.zoomeye.org/

Fofa工控专题

https://fofa.so/subject

在线靶场

纵横网络靶场社区

https://game.fengtaisec.com

历届比赛真题

包括2018工业信息安全大赛、2019工业信息安全大赛、2018护网杯等题目

https://github.com/ddyy0308/CTF

相关分析与WriteUp

CTF工业信息安全大赛实践与分析

https://www.freebuf.com/articles/ics-articles/210687.html

一道MMS工控协议CTF题的WriteUp

https://blog.csdn.net/cn_lyxc/article/details/94832631

2018工业信息安全技能大赛华东赛区初赛

https://www.cnblogs.com/bianmu-dadan/p/9414165.html

老题新招 | 再解工控CTF流量分析题

https://www.freebuf.com/articles/ics-articles/176868.html

2019工业信息安全竞赛部分

https://www.dazhuanlan.com/2019/12/30/5e09dcd470284/

2019 工业信息安全竞赛总结

https://www.cnpanda.net/ctf/415.html

由一道工控路由器固件逆向题目看命令执行漏洞

https://www.anquanke.com/post/id/183202#h3-10

一些工具脚本

工控CTF比赛工具，各种网络数据包处理脚本

https://github.com/NewBee119/ctf_ics_traffic

分析工控网络流量的工具

https://github.com/NewBee119/ICS-packets-Analyzer

其他

一些好用的过滤条件

ip contains flag.txt

modbus&&modbus.func_code==16

s7comm&&s7comm.param.func==0x05

mms.confirmedServiceRequest==73

规律

mms协议有关的流量分析题目，可以先搜索flag，png等关键字符串，如果检索不到可以尝试搜索对应的十六进制，比如666c（’fl’）

找到fileopen（72）对应的No.

接着使用这一条mms.confirmedServiceRequest==73过滤fileread（73）操作的条目

观察那一条大于fileopen的No.

找到invokeID

接着找对应的mms.invokeID==No.

会发现mms.confirmed_ResponsePDU，这个的十六进制值就存在flag内容