2025年江西省振兴杯工业互联网技术技能大赛线上赛WP教学文档<\/h1>

一、协议分析<\/h2>

1.1 PLC型号识别<\/h3>

题目要求<\/strong>：查找PLC的型号<\/p>

解题步骤<\/strong>：<\/p>

使用CTF-NetA工具一键分析流量包<\/li>
在流量中查找PLC相关信息，找到订货号：6ES7 215-1AG31-0XB0<\/code><\/li>
通过西门子官方查询网站查询该订货号对应的PLC型号<\/li>
获得完整型号：CPU1215CDC\/DC\/DC<\/code><\/li> <\/ol> 关键点<\/strong>：<\/p> PLC订货号与型号的对应关系需要查询官方资料<\/li> 注意flag格式要求：flag{CPU1215CDC\/DC\/DC}<\/code><\/li> <\/ul> 1.2 数据包分析（packet）<\/h3> 解题步骤<\/strong>：<\/p> 使用Wireshark分析数据包，导出HTTP对象<\/li> 使用tshark分析协议分布： tshark -r packet1.pcapng -Y "irc"<\/span> -T fields -e irc.request -e irc.response <\/span><\/span>tshark -r packet1.pcapng -Y "cotp"<\/span> -T fields -e cotp.type -e data.text <\/span><\/span><\/code><\/pre><\/li> 发现IRC协议传输了7z压缩包，位于第84个流<\/li> 解压密码为：MarioRulez1985<\/code><\/li> 解压获得1.pcapng文件，追踪TCP流获得flag<\/li> <\/ol> 关键点<\/strong>：<\/p> IRC协议常用于文件传输<\/li> 注意流编号的识别<\/li> flag格式：flag{WelcomeTojxSz~}<\/code><\/li> <\/ul> 1.3 Modbus协议分析<\/h3> 解题步骤<\/strong>：<\/p> 分析Modbus\/TCP协议流量<\/li> 查找写操作相关流量（功能码06\/10\/16等）<\/li> 将最后写入的数据转换为浮点数<\/li> 提取Modbus\/TCP层的HEX数据<\/li> <\/ol> 关键点<\/strong>：<\/p> 熟悉Modbus功能码含义<\/li> 数据格式转换（HEX到浮点数）<\/li> flag格式：flag{0c010000000b01100016000204441fe3d7}<\/code><\/li> <\/ul> 二、组态编程<\/h2> 2.1 贪吃蛇游戏<\/h3> 解题步骤<\/strong>：<\/p> 在项目中搜索"flag"关键词，获得flag前半部分<\/li> 搜索"}"字符，找到flag后半部分<\/li> 组合获得完整flag<\/li> <\/ol> 关键点<\/strong>：<\/p> 使用全局搜索功能<\/li> 注意flag可能被分割存储<\/li> 完整flag：flag{The_Great_Eggscape_Is_Over}<\/code><\/li> <\/ul> 2.2 有趣的图片隐写<\/h3> 解题步骤<\/strong>：<\/p> 使用010 Editor分析flag.jpg，发现内含压缩包<\/li> 使用foremost工具分离出zip文件<\/li> 发现压缩包有加密，使用随波逐流工具修复伪加密<\/li> 解压获得天然气运维系统.PCZ文件<\/li> 将PCZ后缀改为zip，再次修复伪加密<\/li> 在bmp目录下的题3.png中找到flag<\/li> <\/ol> 关键点<\/strong>：<\/p> 文件格式识别（jpg中隐藏zip）<\/li> 伪加密修复技术<\/li> 多层压缩包处理<\/li> <\/ul> 三、工控迷宫<\/h2> 解题步骤<\/strong>：<\/p> 使用Autothink打开程序分析<\/li> 解析迷宫地图数据（每行存储为二进制数）： maze =<\/span> [63<\/span>,129<\/span>,253<\/span>,253<\/span>,253<\/span>,253<\/span>,129<\/span>,252<\/span>] <\/span><\/span> <\/span><\/span>def<\/span> print_maze<\/span>(maze): <\/span><\/span> for<\/span> row in<\/span> maze: <\/span><\/span> line =<\/span> ""<\/span> <\/span><\/span> for<\/span> i in<\/span> range(8<\/span>): <\/span><\/span> if<\/span> row &<\/span> (1<\/span> <<<\/span> (7<\/span> -<\/span> i)): <\/span><\/span> line +=<\/span> "*"<\/span> <\/span><\/span> else<\/span>: <\/span><\/span> line +=<\/span> " "<\/span> <\/span><\/span> print(line) <\/span><\/span><\/code><\/pre><\/li> 分析程序逻辑：当位置到达63时输出flag<\/li> 修改Start为True开始游戏，通过Dir标志位控制移动<\/li> 注意移动检测的是上升沿（0→1的变化）<\/li> <\/ol> 关键点<\/strong>：<\/p> 迷宫地图的二进制表示<\/li> 上升沿检测机制<\/li> flag：flag{1265912045}<\/code><\/li> <\/ul> 四、PLC工程<\/h2> 解题步骤<\/strong>：<\/p> 使用Autothink分析PLC程序<\/li> 要求try_it被按下（上升沿）2999次后获得result<\/li> 构建循环逻辑自动计数：若count≠2999，置位try_it，count+1<\/li> 复位try_it以便下次触发<\/li> <\/ul> <\/li> 删除上升沿检测块，简化触发逻辑<\/li> 运行获得最终结果<\/li> <\/ol> 关键点<\/strong>：<\/p> PLC编程逻辑理解<\/li> 自动计数实现<\/li> flag：flag{235997}<\/code><\/li> <\/ul> 五、应急处置<\/h2> 5.1 钓鱼邮件分析<\/h3> 解题步骤<\/strong>：<\/p> 分析eml文件，下载附件（docx和exe）<\/li> 分析exe文件逻辑：将tan.docx异或解密为tan1.docx<\/li> 初始尝试密钥"123456"失败<\/li> 发现邮件中的base64字符串"ctf_is_good_boy"为真实密钥<\/li> 使用XOR解密脚本： def<\/span> xor_decrypt<\/span>(data, key): <\/span><\/span> key_bytes =<\/span> key.<\/span>encode('utf-8'<\/span>) <\/span><\/span> decrypted_data =<\/span> bytearray() <\/span><\/span> for<\/span> i, byte in<\/span> enumerate(data): <\/span><\/span> decrypted_data.<\/span>append(byte ^<\/span> key_bytes[i %<\/span> len(key_bytes)]) <\/span><\/span> return<\/span> bytes(decrypted_data) <\/span><\/span><\/code><\/pre><\/li> <\/ol> 关键点<\/strong>：<\/p> 邮件附件分析<\/li> XOR加解密原理<\/li> 密钥隐藏在base64中<\/li> flag：flag{ctf_eq23-c876-dhad-2871-dkdk-lopk}<\/code><\/li> <\/ul> 5.2 ICS_C2协议分析<\/h3> 解题步骤<\/strong>：<\/p> 分析OPC UA协议数据，追踪TCP流<\/li> 使用tshark提取HTTP数据到output.txt<\/li> 编写解析脚本处理base64编码的数据：识别数据块（RESULT标记）<\/li> base64解码并解析JSON结构<\/li> <\/ul> <\/li> 发现多个命令执行结果块<\/li> 跟踪sed命令对flag的修改过程<\/li> <\/ol> 关键点<\/strong>：<\/p> OPC UA协议中的C2通信<\/li> 分块数据传输解析<\/li> 命令执行痕迹分析<\/li> 最终flag：flag{Try_Try_A_new_c2_0PC}<\/code><\/li> <\/ul> 六、恶意程序分析<\/h2> 6.1 Pipdream恶意软件分析<\/h3> 解题步骤<\/strong>：<\/p> 使用IDA反汇编分析<\/li> 发现fwrite写入PE文件（4D 5A头）<\/li> 提取PE文件进行进一步分析<\/li> 定位AES加密函数<\/li> 提取加密密钥：C110DD4FE9434147B92A5A1E3FDBF29A<\/code><\/li> <\/ol> 关键点<\/strong>：<\/p> PE文件结构识别<\/li> AES加密算法识别<\/li> 密钥提取技术<\/li> <\/ul> 七、固件分析<\/h2> 7.1 加密固件分析<\/h3> 解题步骤<\/strong>：<\/p> 使用binwalk提取固件文件<\/li> 定位关键解密文件libupgradeFirmware.so<\/li> 分析解密逻辑：AES加密+CRC32校验<\/li> 解密获得rom文件<\/li> 计算文件MD5值<\/li> <\/ol> 关键点<\/strong>：<\/p> 固件提取技术<\/li> 加密算法逆向分析<\/li> 完整性校验<\/li> flag：flag{542b460afe2c9d6f146818bd7f8c3262}<\/code><\/li> <\/ul> 八、工具使用总结<\/h2> 必备工具列表：<\/h3> 流量分析<\/strong>：Wireshark、tshark、CTF-NetA<\/li> 文件分析<\/strong>：010 Editor、foremost、随波逐流<\/li> 逆向工程<\/strong>：IDA Pro、Autothink<\/li> 编程环境<\/strong>：Python（加解密脚本）<\/li> 固件分析<\/strong>：binwalk<\/li> <\/ul> 核心技能要求：<\/h3> 工业协议分析能力（Modbus、OPC UA、COTP等）<\/li> 文件格式识别与隐写分析<\/li> PLC编程与逻辑分析<\/li> 恶意软件逆向分析<\/li> 加解密算法应用<\/li> 自动化脚本编写能力<\/li> <\/ol> 本教学文档详细记录了2025年江西省振兴杯工业互联网技术技能大赛线上赛的各项解题步骤和关键技术点，为后续学习者提供完整的参考指南。<\/p>