西门子S7系列中间人攻击：PLC探测和流量分析（二）_socket python s7comm(2)

本文链接：https://blog.csdn.net/2401_84281738/article/details/138450919

S7密码爆破：
知道这个网络内存在的PLC后，我们可以先用脚本或者模拟器尝试连接，探测PLC是否设置了读写权限密码，以S7-300为例，这里它已启用，这是用户提高安全性的最常用方法之一。
在这里插入图片描述
这里稍微讲解一下，关于PLC的读写保护即使启用了读/写保护，也允许某些操作，例如读取SZL列表或读取和写入标记区域。其他例如读取或写入对象/功能/数据块之类的其他操作应返回权限错误，会告知需要携带密码。在正常操作期间，需要读/写特权的客户端在通信设置后通过SZL读取（SZL ID：0x0132 SZL索引：0x0004）查询实际和分配的保护级别。
在这里插入图片描述

如下图所示，我抓取的是对PLC进行读写操作的数据包，用wireshark进行分析，这里分享一个wireshark的小技巧，除了在左上角输入s7comm在显示过滤器中搜索外，通过第二行的搜索功能来搜索关键字Security（String类型），找到了交互密码的数据包。
在这里插入图片描述

我们点开发送密码的数据包，关键的地方已经标出，大家都知道这是携带密码的数据包，但是密码在哪呢？其实密码是在最后的八个字节代表八位密码，也就是Data里面的数据，但是我们简单把十六进制转换成十进制，发现根本对不上，这就需要发现它加密的规律。
在这里插入图片描述

这里我已经破解好了，左边是八位密码破解方法，右边是我用scapy模块解包，提取了含有读写密码的数据包，然后比对，发现是一样的，有兴趣的小伙伴可以学习一下PLC对密码是如何加密的哈。
在这里插入图片描述

如下图所示，因为我们发现规律，每次请求包携带读写密码的包的长度都是91字节，所以这里我们的搜索条件是ip.addr==xxx.xxx.xxx.xxx and ip.len == 77，这里len为什么是77呢，因为以太网头固定长度14，其它的才都算是ip.len，即从ip本身到报文末尾的总长度。（踩坑）
在这里插入图片描述

关于S7-1200v3.0的密码爆破，我这里就不细讲了，如果大家想学习可以点击观看这个视频哈https://www.youtube.com/watch?v=AI8z-kgvVYY
关于S7-1200v4.0和S7-1500的密码破解，以及停启操作，需要通过反编译的方式逆向分析上位机软件TIA的核心OMSp_core_managed.dll组件，然后得到关于s7comm-plus协议的秘钥生成、交换、加密等环节的算法，这个日后我单独开一期讲。
（有小伙伴不明白S7comm协议和S7comm-plus协议区别的，还有不理解重放攻击的，请阅读我这篇文章https://www.freebuf.com/ics-articles/230676.html）

S7读取寄存器的值：
其实知道了PLC的ip，我们能做的事情多了去了。我们可以通过一些模拟器登录上去获取一些信息，例如下图，我用的是西门子PLC调试助手，用来连接S7-1200和S7-1500设备，读取寄存器里的值，也可以写入修改值。
在这里插入图片描述
下图我用的是Snap7 Client Demo模拟器，用来读取OB块的信息，里面还有system info和control stop/start 等操作，大家都可以试试哈。

如果想用代码来实现的话，因为S7-300/400请求的数据包都固定，可以通过重放攻击抓取模拟器发出的请求来放到代码里使用socket模块就行了；如果是对S7-1200的读写，直接使用python-snap7模块来实现。下图是三个模拟器组件相对应的PLC组件，方便大家理解可以看一下。
在这里插入图片描述

总结：
现在Shodan搜索引擎让定位全球范围内不安全的工业设备和系统变得轻而易举。对攻击者再友好不过了，许多情况下这些设备仍在运行当中，还使用着如“admin”和“1234”这样的通用密码和登录信息。甚至对于S7设备 if you can ping the device you can own it。
本篇文章主要是对发现PLC后的一些操作，主要是给刚研究工控安全的小伙伴们一些启发。其实例如PLC的指纹识别，基于简单的102端口检测和PLC版本匹配，其实用户只要稍稍用conpot做个端口映射和修改默认配置，就能给我们增加很大的迷惑性；再例如S7读写权限的密码爆破，如果用户使用强密码，或者有效利用系统的时钟功能，我们都将面临很大的难度。所以，注过程，多思考，才能对PLC安全理解的更深。

如果想了解更多安全知识，或者有问题，都可以关注以下公众号，私信我：
在这里插入图片描述