西门子S7系列中间人攻击：PLC探测和流量分析（二）

前言：

工业控制系统（ICS）是国家基础设施的重要组成部分，也是工业基础设施的核心，被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域，其可用性和实时性要求高，系统生命周期长，是信息战的重点攻击目标。目前，我国在工业控制系统网络安全技术研究以及产业发展等相关领域处于快速发展阶段，但防护能力和应急处置能力相对较低，特别是关键部位工控系统大量使用施耐德（法国）、西门子（德国）、发那科（日本）等的国外品牌，关键系统的安全性受制于人，重要基础设施的工控系统成为外界渗透攻击的目标。

上一篇主要讲述了中间人截取PLC的流量并读取一些相关信息，这一篇主要讲述深入PLC设备探测与流量分析，以及后期对PLC设备操作。文中涉及一些攻击思路可能存在不严谨之处，欢迎大家指正哈。

PLC指纹提取：

我们在这里先简单说一下Siemens PLC的指纹提取吧，因为之前我们在流量中捕获到信息6ES7 511-1AK02-0AB0，PLC是S7-1500，属于S7comm-plus协议通信，所以我们采用ISF工控框架中的s7comm_plus_scan.py模块进行探测，结果如下图所示：

还发现了S7-1200，真是意外之喜，不过用的是v4.2的版本，也就是采用最新的S7comm-plus的加密方式，这个放到后面再说。因为还发现了一些IP也开启了102端口，顺便也用s7comm_scan.py模块扫一下，结果如下所示（关于ISF工控框架的介绍和其他一些使用可以看我写的这篇西门子S7-300攻击分析）。

还有的收获是S7-300PLC的存在，关于S7系列PLC设备的102端口检测、cpu版本检测，都属于Siemens PLC 指纹提取，方法有很多，我这里就不多讲了，这位工控老哥已经讲得特别详细了 https://www.freebuf.com/column/217939.html ，大家可以阅读哈。

S7密码爆破：

知道这个网络内存在的PLC后，我们可以先用脚本或者模拟器尝试连接，探测PLC是否设置了读写权限密码，以S7-300为例，这里它已启用，这是用户提高安全性的最常用方法之一。

这里稍微讲解一下，关于PLC的读写保护即使启用了读/写保护，也允许某些操作，例如读取SZL列表或读取和写入标记区域。其他例如读取或写入对象/功能/数据块之类的其他操作应返回权限错误，会告知需要携带密码。在正常操作期间，需要读/写特权的客户端在通信设置后通过SZL读取（SZL ID：0×0132  SZL索引：0×0004）查询实际和分配的保护级别。

如下图所示，我抓取的是对PLC进行读写操作的数据包，用wireshark进行分析，这里分享一个wireshark的小技巧，除了在左上角输入s7comm在显示过滤器中搜索外，通过第二行的搜索功能来搜索关键字Security（String类型），找到了交互密码的数据包。

我们点开发送密码的数据包，关键的地方已经标出，大家都知道这是携带密码的数据包，但是密码在哪呢？其实密码是在最后的八个字节代表八位密码，也就是Data里面的数据，但是我们简单把十六进制转换成十进制，发现根本对不上，这就需要发现它加密的规律。

这里我已经破解好了，左边是八位密码破解方法，右边是我用scapy模块解包，提取了含有读写密码的数据包，然后比对，发现是一样的，有兴趣的小伙伴可以学习一下PLC对密码是如何加密的哈。

如下图所示，因为我们发现规律，每次请求包携带读写密码的包的长度都是91字节，所以这里我们的搜索条件ip.addr==xxx.xxx.xxx.xxx and ip.len == 77，这里len为什么是77呢，因为以太网头固定长度14，其它的才都算是ip.len，即从ip本身到报文末尾的总长度（踩坑）

关于S7-1200v3.0的密码爆破，我这里就不细讲了，如果大家想学习可以点击观看这个视频哈 https://www.*******.com/watch?v=AI8z-kgvVYY

关于S7-1200v4.0和S7-1500的密码破解，以及停启操作，需要通过反编译的方式逆向分析上位机软件TIA的核心OMSp_core_managed.dll组件，然后得到关于s7comm-plus协议的秘钥生成、交换、加密等环节的算法，这个日后我单独开一期讲。（有小伙伴不明白S7comm协议和S7comm-plus协议区别的，还有不理解重放攻击的，请阅读我这篇文章 https://www.freebuf.com/ics-articles/230676.html ）

S7读取寄存器的值：

其实知道了PLC的ip，我们能做的事情多了去了。我们可以通过一些模拟器登录上去获取一些信息，例如下图，我用的是西门子PLC调试助手，用来连接S7-1200和S7-1500设备，读取寄存器里的值，也可以写入修改值。

下图我用的是Snap7 Client Demo模拟器，用来读取OB块的信息，里面还有system info和control stop/start 等操作，大家都可以试试。

如果想用代码来实现的话，因为S7-300/400请求的数据包都固定，可以通过重放攻击抓取模拟器发出的请求来放到代码里使用socket模块就行了；如果是对S7-1200的读写，直接使用python-snap7模块来实现。下图是三个模拟器组件相对应的PLC组件，方便大家理解可以看一下。

总结：

现在Shodan搜索引擎让定位全球范围内不安全的工业设备和系统变得轻而易举。对攻击者再友好不过了，许多情况下这些设备仍在运行当中，还使用着如“admin”和“1234”这样的通用密码和登录信息。甚至对于S7设备 if you can ping the device you can own it 。

本篇文章主要是对发现PLC后的一些操作，主要是给刚研究工控安全的小伙伴们一些启发。其实例如PLC的指纹识别，基于简单的102端口检测和PLC版本匹配，其实用户只要稍稍用conpot做个端口映射和修改默认配置，就能给我们增加很大的迷惑性；再例如S7读写权限的密码爆破，如果用户使用强密码，或者有效利用系统的时钟功能，我们都将面临很大的难度。所以，注过程，多思考，才能对PLC安全理解的更深。

*本文作者：黄一113530，转载请注明来自FreeBuf.COM