update

Author: Randark-JMT

docs/HackTheBox/Challenges/Blockchain/Distract and Destroy/index.md

@@ -0,0 +1,11 @@
+# Distract and Destroy
+
+:::note CHALLENGE DESCRIPTION
+
+After defeating her first monster, Alex stood frozen, staring up at another massive, hulking creature that loomed over her. She knew that this was a fight she couldn't win on her own. She turned to her guildmates, trying to come up with a plan. "We need to distract it," Alex said. "If we can get it off balance, we might be able to take it down." Her guildmates nodded, their eyes narrowed in determination. They quickly came up with a plan to lure the monster away from their position, using a combination of noise and movement to distract it. As they put their plan into action, Alex drew her sword and waited for her chance.
+
+打败第一只怪物后，艾丽克丝呆呆地站在原地，仰望着另一个庞大的怪物。她知道，单凭自己的力量是无法赢得这场战斗的。她转向她的同伴，试图想出一个计划。“我们需要分散它的注意力，"亚历克斯说。“如果我们能让它失去平衡，也许就能拿下它。” 她的公会伙伴们点点头，眼睛眯成一条缝，下定决心。他们很快就想出了一个引诱怪物离开他们位置的计划，利用声音和动作的组合来分散它的注意力。当他们将计划付诸行动时，亚历克斯拔出了剑，等待着机会。
+
+:::
+
+TODO 未开工

docs/HackTheBox/Challenges/Blockchain/_category_.json

@@ -0,0 +1,8 @@
+{
+    "label": "Blockchain",
+    "link": {
+        "type": "generated-index",
+        "title": "HackTheBox Challenges Blockchain",
+        "slug": "/category/HackTheBox-Challenges Blockchain"
+    }
+}

docs/Independent-Environment/Fengtaisec/12.md

@@ -0,0 +1,37 @@
+# S7COMM 协议分析
+
+:::note
+
+某 10 段工控网络中，工业协议中存在异常数据。请通过流量中的数据找寻 flag
+
+flag 形式为 `flag{}`
+
+:::
+
+题目提供了 `ICS-2019-1.pcap` 流量包文件，流量包文件较大
+
+![img](img/image_20241225-102519.png)
+
+根据题目信息，分析`S7COMM`协议的流量包
+
+![img](img/image_20241227-102736.png)
+
+排除掉常规长度的数据包
+
+```plaintext
+(s7comm) && !(frame.len == 104) && !(frame.len == 153)
+```
+
+对流量进行排查，发现
+
+![img](img/image_20241231-103159.png)
+
+对未能解析的数据进行分析，可以得到一份字符串
+
+![img](img/image_20241232-103224.png)
+
+即可得到答案
+
+```flag
+flag{is_not_real}
+```

docs/Independent-Environment/Fengtaisec/126.md

@@ -0,0 +1,34 @@
+# 协议精准定位分析
+
+:::note
+
+企业自动化运维管理员最近发现某工控设备频繁出现可疑地流量，请您帮助他分析确认一下问题。
+
+Flag 格式为：`flag{}`
+
+:::
+
+题目提供了两个文件
+
+- XGB_FEnet(080611).pdf
+- 流量信息. pcapng
+
+`pdf`文件提供的是工控设备的说明文档，文件`pcapng`是工控设备的流量捕获
+
+直接暴力追踪`Tcpsession 4`可以发现以下信息
+
+![img](img/image_20241209-000910.png)
+
+直接暴力解码
+
+```shell
+┌──(randark㉿kali)-[~/tmp]
+└─$ tshark -r dfc3c025ff3fb208b7d53a7e10dfb5f9.pcapng -T fields -e data.data | grep -E "^4c5349532d58475400000000a03300001600034758001400000001000600254d423230300400" | awk '{print substr($0, length($0)-7, 2)}' | xxd -r -p | rev
+flag{c93650241853da240f9760531a79cbcf}
+```
+
+即可得到答案
+
+```flag
+flag{c93650241853da240f9760531a79cbcf}
+```

docs/Independent-Environment/Fengtaisec/127.md

@@ -0,0 +1,31 @@
+# 奇怪的声音
+
+:::note
+
+某工控环境中泄露了某些奇怪的声音，你能获取到flag吗?
+
+Flag格式为：`flag{}`
+
+:::
+
+题目提供了一个图像文件`ICS2020.jpg`
+
+![img](img/image_20241224-002419.png)
+
+对其十六进制数据进行分析，在后部发现了zip数据
+
+![img](img/image_20241224-002459.png)
+
+将附加的zip数据进行提取，得到
+
+![img](img/image_20241225-002551.png)
+
+解压得到`ICS.mp3`文件，根据其声音特征判断其为SSTV
+
+![img](img/image_20241230-003001.png)
+
+即可得到答案
+
+```plaintext
+flag{no32dpi3194dof2}
+```

docs/Independent-Environment/Fengtaisec/128.md

@@ -0,0 +1,25 @@
+# 工控协议数据分析
+
+:::note
+
+生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志，自动化工程师在进行上载分析中也没有发现相关的问题所在，请您帮助进行分析相关设备的存在的问题
+
+flag 格式为：`flag{hex 数据}`
+
+:::
+
+题目提供了流量包文件 `AutoThink.pcap`
+
+![img](img/image_20241232-003256.png)
+
+简单看一下协议分级统计
+
+![img](img/image_20241235-003549.png)
+
+在其中，发现有较多的ARP数据包，发起方都为`VMware_75:b2:3` 和 `SiemensNumer_15:d3:09`
+
+尝试提交答案，可确定答案为`SiemensNumer_15:d3:09`的MAC地址`00:1c:06:15:d3:09`
+
+```flag
+flag{001c0615d309}
+```

docs/Independent-Environment/Fengtaisec/139.md

@@ -0,0 +1,26 @@
+# 病毒文件恢复
+
+:::note
+
+某厂区内部出现勒索病毒，且重要工程文件被黑客锁住，请应急人员解锁被勒索病毒锁住的文件
+
+flag 格式为：`flag{}`
+
+:::
+
+题目提供了以下文件
+
+- `flag.txt.nxgszagbx`
+- `NXGSZAGBX-DECRYPT.txt`
+
+其中，文件 `NXGSZAGBX-DECRYPT.txt` 为勒索软件留下的勒索信，文件 `flag.txt.nxgszagbx` 可以推测为 `flag.txt` 文件经过勒索软件加密后的文件
+
+尝试直接使用 [安全卫士勒索病毒专题: 文件恢复_安全卫士离线救灾版_文档卫士](https://lesuobingdu.360.cn/) 进行解密
+
+![img](img/image_20241202-100202.png)
+
+确定之后，尝试在线解密，即可得到答案
+
+```flag
+flag{fngD_vwfW_JTqI_E4Kl}
+```

docs/Independent-Environment/Fengtaisec/14.md

@@ -0,0 +1,65 @@
+# 恶意软件后门分析
+
+:::note
+
+工程师的笔记本上发现了恶意软件，经排查是一款著名针对工业领域的病毒，溯源分析远控样本文件，确认远程C&C连接地址。
+
+flag形式为 `flag{}`
+
+:::
+
+题目提供了`f67b65b9346ee75a26f491b70bf6091b`可执行文件
+
+![img](img/image_20241246-234657.png)
+
+对其进行逆向分析
+
+![img](img/image_20241248-234853.png)
+
+从`start`跟进到`sub_402261`
+
+```c
+int sub_402261()
+{
+    struct _SYSTEMTIME SystemTime; // [esp+0h] [ebp-14h] BYREF
+    DWORD dwMilliseconds; // [esp+10h] [ebp-4h] BYREF
+
+    SetLastError(0);
+    if ( GetLastError() != 183 )
+    {
+        dwMilliseconds = 5000;
+        SetUnhandledExceptionFilter(TopLevelExceptionFilter);
+        if ( !GetSystemMetrics(67) )
+        {
+            if ( sub_4023A8() )
+            {
+                while ( 1 )
+                {
+                    do
+                    {
+                        Sleep(dwMilliseconds);
+                        GetLocalTime(&SystemTime);
+                    }
+                    while ( SystemTime.wHour >= 0x18u );
+                    sub_402174(&dwMilliseconds);
+                }
+            }
+        }
+    }
+    return 0;
+}
+```
+
+继续跟进到`sub_402174`
+
+![img](img/image_20241249-234954.png)
+
+其中`v1 = (void *)sub_40204D(L"5.39.218.152", 0x1BBu);`看起来很可疑，跟进分析`sub_40204D`
+
+![img](img/image_20241250-235054.png)
+
+很明显的外联行为，即可确定答案
+
+```flag
+flag{5.39.218.152}
+```

docs/Independent-Environment/Fengtaisec/140.md

@@ -0,0 +1,31 @@
+# 简单Modbus协议分析
+
+:::note
+
+由于操作员操作不当导致化工车间蒸馏塔控制器程序出错，请分析错误程序查找错误点并获得flag
+
+flag格式为`flag{}`
+
+:::
+
+题目提供了流量包文件`t3.pcap`
+
+![img](img/image_20241243-004357.png)
+
+尝试多种筛选，在TCP标头中发现异常
+
+![img](img/image_20241248-004821.png)
+
+尝试对数据进行提取
+
+```shell
+┌──(randark㉿kali)-[~/tmp]
+└─$ strings t3.pcap | grep 666c | xxd -r -p
+flag{DGswTfgy1GD236fs2sfF2dskLng}
+```
+
+即可得到答案
+
+```flag
+flag{DGswTfgy1GD236fs2sfF2dskLng}
+```

docs/Independent-Environment/Fengtaisec/15.md

@@ -0,0 +1,36 @@
+# 恶意软件样本分析
+
+:::note
+
+某家工厂曾发生过宕机事件案例，为防止再发生此事找了技术人员分析攻击行为流量数据包后发现许多异常端口连接记录，最终得到了这个罪魁祸首的病毒样本，请分析病毒样本尝试复现事件案例帮助工厂实施应急演练
+
+flag 形式为 `flag{}`
+
+:::
+
+题目提供了 [MDudek-ICS/TRISIS-TRITON-HATMAN: Repository containting original and decompiled files of TRISIS/TRITON/HATMAN malware](https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN) 的仓库文件
+
+在 Kali 上进行以下操作
+
+```shell
+┌──(randark ㉿ kali)-[~/tmp/attachment_1579251185_2-4/TRISIS-TRITON-HATMAN/decompiled_code]
+└─$ mv script_test.py library/
+
+┌──(randark ㉿ kali)-[~/tmp/attachment_1579251185_2-4/TRISIS-TRITON-HATMAN/decompiled_code]
+└─$ cd library/
+
+┌──(randark ㉿ kali)-[~/tmp/attachment_1579251185_2-4/TRISIS-TRITON-HATMAN/decompiled_code/library]
+└─$ python2 script_test.py 127.0.0.1
+bad tcm size
+unable to connect!
+```
+
+对本地 `Interface - Loopback` 进行监听的同时运行脚本，将地址设置为另一个本地环回地址 `127.0.0.2` 之后，可以得到
+
+![img](img/image_20241209-000952.png)
+
+传输的数据就是答案
+
+```flag
+flag{0100000001fc}
+```