COTP

可以理解为基于TCP的工控TCP，主要有五种类型：

CR Connect Request (0x0e)——握手，发送方发送

CC Connect Confirm (0x0d)——握手，接收方发送

DT Data (0x0f)——传正常数据

UD User Data (0x04)——少见，传自定义数据

ED Expedited Data (0x01)——少见，传紧急数据

CR和CC只在建立连接时由双方发送，发起方发送CR，被动方发送CC，后续数据主要走DT。因为协议类似于TCP，较为底层，所以没有其他比较有用的协议字段可供解题；同样因为COTP较为底层，用来出题的概率较小，就像用纯TCP出题的概率一样

例题1 2020ICSC济南站—COTP

题目要求：找到黑客流量，flag为后90字节的16进制

打开题目，筛选COTP协议，发现没有经过握手，直接就是传数据，

但是黑客要想传输必须要重新建立连接，也就是会有一个新的握手出现，将其筛选出来
info排序，可以看到黑客建立了3次握手

查看215，214后续握手后的交流包，216中发现意思是黑客流量，因为有kill字符

题目说 黑客流量后的90字节的hex,则黑客流量包是216，查看217中取出最后的90字节如下所示：

所以flag为：

31312d31424535312d30584230203b56332e308240001505323b32383882410003000300a20000000072010000

例题3 2021ICSC线上—Fins协议通讯

偏脑洞

在压缩包底部注释发现key:jnds

打开流量包，筛选omron协议，打开数据包过滤command。发现全为read，没有write,长度逆序，一个个看包 发现11683包发现一串密文
U2FsdGVkX1/bWSZYUeFDeonQhK0AUHr9Tm7Ic20PRXxlPvlwG6a4fQ==

观察发现开头为U2Fsd 因U2Fsd疑似网站https://www.sojson.com的特征，并且压缩包里存在key:jnds 因此使用aes算法解密，发现失败，尝试tripledes解密成功，获取flag
https://www.sojson.com/encrypt_triple_des.html

参考：
https://blog.csdn.net/song123sh/article/details/128388305
https://mp.weixin.qq.com/s/LW0jQAoD5VLygHyooyUXlw