COTP
可以理解为基于TCP的工控TCP,主要有五种类型:
CR Connect Request (0x0e)——握手,发送方发送
CC Connect Confirm (0x0d)——握手,接收方发送
DT Data (0x0f)——传正常数据
UD User Data (0x04)——少见,传自定义数据
ED Expedited Data (0x01)——少见,传紧急数据
CR和CC只在建立连接时由双方发送,发起方发送CR,被动方发送CC,后续数据主要走DT。因为协议类似于TCP,较为底层,所以没有其他比较有用的协议字段可供解题;同样因为COTP较为底层,用来出题的概率较小,就像用纯TCP出题的概率一样
例题1 2020ICSC济南站—COTP
题目要求:找到黑客流量,flag为后90字节的16进制
打开题目,筛选COTP协议,发现没有经过握手,直接就是传数据,
但是黑客要想传输必须要重新建立连接,也就是会有一个新的握手出现,将其筛选出来
info排序,可以看到黑客建立了3次握手
查看215,214后续握手后的交流包,216中发现意思是黑客流量,因为有kill字符
题目说 黑客流量后的90字节的hex,则黑客流量包是216,查看217中取出最后的90字节如下所示:
所以flag为:
31312d31424535312d30584230203b56332e308240001505323b32383882410003000300a20000000072010000
例题3 2021ICSC线上—Fins协议通讯
偏脑洞
在压缩包底部注释发现key:jnds
打开流量包,筛选omron协议,打开数据包过滤command。发现全为read,没有write,长度逆序,一个个看包 发现11683包发现一串密文
U2FsdGVkX1/bWSZYUeFDeonQhK0AUHr9Tm7Ic20PRXxlPvlwG6a4fQ==
观察发现开头为U2Fsd 因U2Fsd疑似网站https://www.sojson.com的特征,并且压缩包里存在key:jnds 因此使用aes算法解密,发现失败,尝试tripledes解密成功,获取flag
https://www.sojson.com/encrypt_triple_des.html
参考:
https://blog.csdn.net/song123sh/article/details/128388305
https://mp.weixin.qq.com/s/LW0jQAoD5VLygHyooyUXlw