工控CTF_Modbus TCP

参考文章

https://blog.csdn.net/song123sh/article/details/128387982

https://www.anquanke.com/post/id/185513#h2-0

概况

Modbus由MODICON公司于1979年开发，是一种工业现场总线协议标准。1996年施耐德公司推出基于以太网TCP/IP的Modbus协议：ModbusTCP

modbus可以说是将读写指令分为了两大类，一类是离散的，也就是位操作，非1即0；第二类是模拟的，也就是数字，可以叫做字操作。

DO（digital output 数字量输出），所谓线圈就是离散的输出状态，01即读一个离散的输出状态，举个不恰当的栗子，你家灯泡接到某个控制器上（实际上并不会存在这种情况……），我们可以通过01加上数据，比如1，让他亮，加上0，让他灭。
DI （digital input 数字量输入），所谓的离散输入就是它，还是上面的栗子，我们想知道灯的开关是咋样的呢？就用02指令看看，如果是1，哦，按下去了，如果是0就是没按。通过这个不恰当的栗子我们大概也可以猜到，这是不可写的（如果你随便一个指令把开关给按死了，那我这灯不是彻底开不了了？），可以理解为外部对工控系统所带来的“开关”影响。
AO（AnalogOutput 模拟输出），保持寄存器的功能，和DO最大的不同就是它不再是0或1，可以是一个数值，比如，我们设定的PID运行参数，或者是温度的上下限等等
AI（Analog Input 模拟输入），也就是输入寄存器，和DI一样，可读但不可写，可以理解为外部对于系统的多位输入

Modbus TCP数据格式

Transaction identifier ： 事务标识符

Protocol identifier ： 默认为0

Length : 数据的长度

Unit identifier ： 从机地址，因为使用了TCP/IP所以用ip地址来标识从机，所以该位可忽视，或者做进一步分发

Function code ： modbus的功能码

Data ：具体的数据

具体分析一条Modbus/TCP数据包

7484	329.001243	172.16.3.23	172.16.1.33	Modbus/TCP	66	   Query: Trans: 13304; Unit:   1, Func:   3: Read Holding Registers

7484 数据包序号

329.001243 时间戳,表示数据包的捕获时间

172.16.3.23 源地址,发送此数据包的设备IP地址

172.16.1.33 目的地址,接收此数据包的设备IP地址

Modbus/TCP 协议类型,表示此数据包使用Modbus/TCP协议

66 数据包长度,66字节

Query: 请求信息,表示此数据包是一条查询请求

Trans: 13304 事务标识符,用于匹配请求和响应,这里是13304

Unit: 1 目标设备编号,这里是1号设备

Func: 3 功能码,这里是0x03,表示读保持寄存器的请求

Func 功能码（常见）

Modbus的操作对象有四种：线圈、离散输入、保持寄存器、输入寄存器。

对象	含义
线圈	PLC的输出位，开关量，在Modbus中可读可写
离散量	PLC的输入位，开关量，在Modbus中只读
输入寄存器	PLC中只能从模拟量输入端改变的寄存器，在Modbus中只读
保持寄存器	PLC中用于输出模拟量信号的寄存器，在Modbus中可读可写

1：读线圈

2：读离散输入

3：读保持

4：读输入

5：写单个线圈

6：写单个保持

15：写多个线圈

16：写多个保持

90：施耐德高危功能码，它是施耐德自定义的非标准功能码

筛选技巧

流内可直接得到的flag既不可能是位操作，也不可能是字操作，都太短了，所以聚焦的就应该是包长度大的，或者是类似16功能码那样写多个字的指令。

在wireshark过滤流中即可 ((modbus) && (modbus.func_code == 16)) && (modbus.byte_cnt) 如此使用

筛选出所有Modbus协议

modbus

下两步可以直接在对应位置选择：作为过滤流应用 --> ...且选中

分析功能码，以功能码为1举例

(modbus) && (modbus.func_code == 1)

找回包（对比发现回包有一个代表长度的Byte Count）

((modbus) && (modbus.func_code == 16)) && (modbus.byte_cnt)

搜寻异常流量

Func 功能码

17：主机正在对从机的某文件记录区块进行读取或写入操作

109：主机/从机接收到无效数据时的异常响应

67：重置通讯参数

1：读取线圈状态

先逐次查看容易出现异常的功能码

(modbus) && (modbus.func_code == 17)

筛选后要注意查看Data数据，对比筛选正常流量跟异常流量，并在此基础上新增对Data的筛选

如当正常流量的data为600000时

(((modbus) && (modbus.func_code == 17))) && (modbus.data != 06:00:00)

用此方法对异常流量功能码依次处理

当呈现的是Byte Count数据时，对比数量进行筛选

(modbus.func_code == 1) && (modbus.bit_cnt != 1)

异常一定是有请求数据异常导致，这样就找到了异常流量包