前言:
工业控制系统(ICS)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,是信息战的重点攻击目标。目前,我国在工业控制系统网络安全技术研究以及产业发展等相关领域处于快速发展阶段,但防护能力和应急处置能力相对较低,特别是关键部位工控系统大量使用施耐德(法国)、西门子(德国)、发那科(日本)等的国外品牌,关键系统的安全性受制于人,重要基础设施的工控系统成为外界渗透攻击的目标。
上一篇主要讲述了中间人截取PLC的流量并读取一些相关信息,这一篇主要讲述深入PLC设备探测与流量分析,以及后期对PLC设备操作。文中涉及一些攻击思路可能略有差异,如有错误之处,欢迎大家指正哈。

PLC指纹提取:
我们在这里先简单说一下Siemens PLC的指纹提取吧,因为之前我们在流量中捕获到信息6ES7 511-1AK02-0AB0,PLC是S7-1500,属于S7comm-plus协议通信,所以我们采用ISF工控框架中的s7comm_plus_scan.py模块进行探测,结果如下图所示:

还发现了S7-1200,真是意外之喜,不过用的是v4.2的版本,也就是采用最新的S7comm-plus的加密方式,这个放到后面再说。因为还发现了一些IP也开启了102端口,顺便也用s7comm_scan.py模块扫一下,结果如下所示(关于ISF工控框架的介绍和其他一些使用可以看我写的这篇西门子S7-300攻击分析)。https://www.freebuf.com/articles/ics-articles/228770.html

还有的收获是S7-300PLC的存在,关于S7系列PLC设备的102端口检测、cpu版本检测,都属于Siemens PLC 指纹提取,方法有很多,我这里就不多讲了,这位工控老哥已经讲得特别详细了https://www.freebuf.com/column/217939.html,大家可以阅读哈。

S7密码爆破:
知道这个网络内存在的PLC后,我们可以先用脚本或者模拟器尝试连接,探测PLC是否设置了读写权限密码,以S7-300为例,这里它已启用,这是用户提高安全性的最常用方法之一。

这里稍微讲解一下,关于PLC的读写保护即使启用了读/写保护,也允许某些操作,例如读取SZL列表或读取和写入标记区域。其他例如读取或写入对象/功能/数据块之类的其他操作应返回权限错误,会告知需要携带密码。在正常操作期间,需要读/写特权的客户端在通信设置后通过SZL读取(SZL ID:0x0132 SZL索引:0x0004)查询实际和分配的保护级别。

如下图所示,我抓取的是对PLC进行读写操作的数据包,用wireshark进行分析,这里分享一个wireshark的小技巧,除了在左上角输入s7comm在显示过滤器中搜索外,通过第二行的搜索功能来搜索关键字Security(String类型),找到了交互密码的数据包。

我们点开发送密码的数据包,关键的地方已经标出,大家都知道这是携带密码的数据包,但是密码在哪呢?其实密码是在最后的八个字节代表八位密码,也就是Data里面的数据,但是我们简单把十六进制转换成十进制,发现根本对不上,这就需要发现它加密的规律。

这里我已经破解好了,左边是八位密码破解方法,右边是我用scapy模块解包,提取了含有读写密码的数据包,然后比对,发现是一样的,有兴趣的小伙伴可以学习一下PLC对密码是如何加密的哈。

如下图所示,因为我们发现规律,每次请求包携带读写密码的包的长度都是91字节,所以这里我们的搜索条件是ip.addr==xxx.xxx.xxx.xxx and ip.len == 77,这里len为什么是77呢,因为以太网头固定长度14,其它的才都算是ip.len,即从ip本身到报文末尾的总长度。(踩坑)

关于S7-1200v3.0的密码爆破,我这里就不细讲了,如果大家想学习可以点击观看这个视频哈https://www.youtube.com/watch?v=AI8z-kgvVYY
关于S7-1200v4.0和S7-1500的密码破解,以及停启操作,需要通过反编译的方式逆向分析上位机软件TIA的核心OMSp_core_managed.dll组件,然后得到关于s7comm-plus协议的秘钥生成、交换、加密等环节的算法,这个日后我单独开一期讲。
(有小伙伴不明白S7comm协议和S7comm-plus协议区别的,还有不理解重放攻击的,请阅读我这篇文章https://www.freebuf.com/ics-articles/230676.html)

S7读取寄存器的值:
其实知道了PLC的ip,我们能做的事情多了去了。我们可以通过一些模拟器登录上去获取一些信息,例如下图,我用的是西门子PLC调试助手,用来连接S7-1200和S7-1500设备,读取寄存器里的值,也可以写入修改值。

下图我用的是Snap7 Client Demo模拟器,用来读取OB块的信息,里面还有system info和control stop/start 等操作,大家都可以试试哈。

如果想用代码来实现的话,因为S7-300/400请求的数据包都固定,可以通过重放攻击抓取模拟器发出的请求来放到代码里使用socket模块就行了;如果是对S7-1200的读写,直接使用python-snap7模块来实现。下图是三个模拟器组件相对应的PLC组件,方便大家理解可以看一下。

总结:
现在Shodan搜索引擎让定位全球范围内不安全的工业设备和系统变得轻而易举。对攻击者再友好不过了,许多情况下这些设备仍在运行当中,还使用着如“admin”和“1234”这样的通用密码和登录信息。甚至对于S7设备 if you can ping the device you can own it。
本篇文章主要是对发现PLC后的一些操作,主要是给刚研究工控安全的小伙伴们一些启发。其实例如PLC的指纹识别,基于简单的102端口检测和PLC版本匹配,其实用户只要稍稍用conpot做个端口映射和修改默认配置,就能给我们增加很大的迷惑性;再例如S7读写权限的密码爆破,如果用户使用强密码,或者有效利用系统的时钟功能,我们都将面临很大的难度。所以,注过程,多思考,才能对PLC安全理解的更深。

​如果想了解更多安全知识,或者有问题,都可以关注以下公众号,私信我:

西门子S7系列中间人攻击:PLC探测和流量分析(二)相关推荐

  1. 西门子S7系列PLC安全防护研究

    近年来,随着中国制造的不断崛起,工业控制系统已成为国家关键基础设施的重中之重,工控系统的安全问题也随之而来.工控产品的多样化,造成了工控系统网络通讯协议不同,大量的工控系统采用私有协议,从而导致协议存 ...

  2. C# 读取西门子S7系列PLC教程及源码

    创建 PLC 实例,连接和断开连接 若要创建驱动程序的实例,需要使用此构造函数: public Plc(CpuType cpu, string ip, Int16 rack, Int16 slot) ...

  3. Java读写操作西门子S7系列PLC

    简介 Java实现操作西门子S7系列PLC,基于开源项目s7connect实现,使用的是基于以太网的TCP/IP实现,不需要额外的组件,读取操作只要放到后台线程就不会卡死线程,本组件支持超级方便的高性 ...

  4. 西门子S7系列PLC如何实现工业互联?(S7中间件)

        为了更加方便快捷地提供西门子S7系列PLC数据交换到工业云平台(WebAPP或移动端APP),作者开发了西门子S7系列支持TCP/IP连接方式的PLC数据交换平台-S7数据采集及交换平台(以下 ...

  5. 西门子逻辑运算指令_西门子S7系列plc逻辑运算指令

    西门子S7系列plc逻辑运算指令: 有关西门子S7系列plc逻辑运算指令,包括字节逻辑运算指令,IN1和IN2还可以是常数,字逻辑运算指令,双字逻辑运算指令. 1.字节逻辑运算指令 ANDBIN1,O ...

  6. 西门子PLC/发那科机器人案例 本案例采用西门子1200系列的1215C PLC和西门子人机界面跟两台发那科机器人以及视觉系统构成

    西门子PLC/发那科机器人案例. 本案例采用西门子1200系列的1215C PLC和西门子人机界面跟两台发那科机器人以及视觉系统构成(发那科机器人一台六轴一四轴)伺服系统为三菱J4系列. PLC本体控 ...

  7. 西门子S7系列PLC以太网通讯处理器MPI-131

    基本说明:MPI-131用于西门子 SIMATIC S7 系列 PLC(包括 S7-200. S7-300. S7-400).西门子数控机床(840D,840DSL等)的以太网通讯,支持以太网编程下载 ...

  8. s7300的db块详细说明_(转载)一张表搞清楚西门子S7系列标准DB块与优化DB块

    在TIA Portal中为S7-1200/S7-1500 CPU 添加一个 DB 块时,其缺省属性为优化的 DB ,优化的 DB 块与标准的 DB 块整体对比如下表所示: 项 标准 DB 优化 DB ...

  9. S7netplus通信开发及西门子S7 PLC设置

    S7netplus通信开发及西门子S7 PLC设置 PLC设置及S7netplus通信开发 TIA Portal(Totally Integrated Automation)的安装与修复 1.安装 2 ...

  10. 西门子S7 模拟器使用教程

    一.S7协议概述 S7协议是西门子S7系列PLC通信的核心协议,它是一种位于传输层之上的通信协议,其物理层/数据链路层可以是MPI总线.PROFIBUS总线或者工业以太网. S7以太网协议本身也是TC ...

最新文章

  1. php怎么看回调的异步通知的数据_php app支付宝回调(异步通知)详解
  2. 启动Spark Shell,在Spark Shell中编写WordCount程序,在IDEA中编写WordCount的Maven程序,spark-submit使用spark的jar来做单词统计
  3. C#三层架构第五课之DBUtil层设计
  4. java对象内存模型_Java对象的内存模型
  5. c语言改变cmd 字体大小_嵌入式开发中常见3个的C语言技巧
  6. CBDict:一个专门为Linux环境下的学术党设计的文献取词翻译器
  7. pkg_resources.ContextualVersionConflict: (pyasn1 0.1.9 (c:\users\dell\anaconda3\lib\site-packages)
  8. 2021.10.07高一Python语法入门课堂检测题解
  9. WWW2023即将截稿
  10. PCB邮票孔拼板AD软件制作教程
  11. 人工智能原理(书籍推荐)
  12. Java面试题及答案2019版(下),mysql事务隔离级别原理
  13. 生成sign(签名),以及校验工具类
  14. python语言程序设计项目_《Python语言程序设计》项目报告书Word版
  15. 简单实用,聊聊我常用的 4 款 Pandas 自动数据分析神器
  16. H3C服务器红灯故障解决方案
  17. FFC1000系列全频带微波超宽带上下变频器
  18. 自学实前后端践项目3 Spring Cloud微服务 6
  19. GOOGLE Chrome谷歌翻译失效(用不了/打不开)的解决方法
  20. php怎样获取当前时间,php中获取当前时间的函数

热门文章

  1. linux安装weblogic界面,Weblogic11g 安装Linux下无Weblogic安装图形界面
  2. json 数据 生成 图表_比Excel更美观!你可知PhotoShop也能画图表
  3. 高德地图定位误差_导航定位错误致拥堵,四川景区建议别用高德地图 高德回应...
  4. linux 编译java web_linux:搭建java web环境
  5. 算法(一):二分查找
  6. p8b75-m修改bios文件_傻瓜式方法:VMWARE使用NAT方式彻底解决开发板无法挂载ubuntu文件的难题...
  7. 【UVA213】Message Decoding(读入技巧+二进制十进制转换)
  8. KS(Kolmogorov–Smirnov)模型区分能力指标
  9. inno setup 卸载注册表_Inno Setup:如何自动卸载以前安装的版本?
  10. 鸿蒙os开机时间,再见了安卓!华为鸿蒙OS 2.0正式登场,开机只需19秒