攻防世界 工业协议分析2
题目
提示:在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG。 flag形式为 flag{}
分析
参考xctf-wp
- 用wireshark打开pcapng文件
- 查看长度异常(如仅出现一次)的UDP流量包。对长度排个序
- 发现147,173,179等包可能异常
长度147的包尾部有flag标志,但没有更多信息。
长度为173和179的包尾部有一串相同的16进制数,转为ASCII后,均为flag
提示:在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG。 flag形式为 flag{}
参考xctf-wp
