工业协议分析2

点击此处获得更好的阅读体验


WriteUp来源

https://xz.aliyun.com/t/5960

题目描述

在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG。

题目考点

  • UDP数据包分析

解题思路

打开流量包,发现存在关于ARP、UDP、SNA协议的流量包,其中存在大量的UDP流量,如图所示:

首先对UDP流量包进行分析,分析发现UDP流量包的长度存在大量相同,一共出现的长度分别为16 17 12 14 10 18 19 20 22 25 32 89 95 104 105 116 131 137 524 528,在这些长度中仅12 89 104 105 131 137出现一次,其余长度多次出现,于是猜测这仅出现一次的流量包存在异常,于是分别分析12 89 104 105 131 137对应的流量包,发现131137对应的流量包存在异常的字符串,如图所示:

提取出字符串666c61677b37466f4d3253746b6865507a7d,并转换成对应ACII码,得到Flag,

Flag

1
flag{7FoM2StkhePz}