西门子数控系列的plc程序密码即POU密码是4个字节的明文存储在flash中的。从编程软件中导出的ard格式的plc,其内容进行了加密打包,不容易直接从中获取。可行的方式是通过exe的动态调试软件,如windbg或ollydbg加载plc编辑软件并加载工程文件,通过劫持编辑软件的查询密码api(pougetpassword)来直接读取对于子程序的密码。
1获取密码输入确认按键的处理函数
使用ollydbg调试软件加载西门子编程软件,下MessageBoxA断点。
通过跟踪追溯,找到其密码输入确认按键的处理函数:
2获得POU密码的函数
通过反复跟踪键处理函数,其
调用executive802.POU_AuthorizePassword函数很可疑。其字面解释,就是使用密码框中输入的密码,来登录这个子程序。
进一步可以得到GetPassword,这个就是从工程文件中获得的密码文字
3实现任意密码都可以跳过验证
通过把字符串比较后的跳转语句改位NOP指令,可实现任意密码都可以跳过验证,可以实现编辑PLC。
4使用对话框显示密码
使用资源编辑工具给systemdata802.dll增加新的引入函数MFC90. AfxMessageBox对话框显示函数。
把密码获得的密码显示到窗口上。
具体图片请到原文查看