【安全性科学研究】S7commPlus协议书科学研究之动态调试

访客4年前关于黑客接单1338

上一篇文章(对S7comm-Plus协议书开展了基本科学研究,算作理论基础研究了,这篇以关键通讯DLL(OMSp_core_managed.dll)为总体目标,应用动态调试的 *** ,对协议书的挥手、加密验证全过程开展动态调试,以对通讯全过程做进一步探寻了解。

根据以前的工作中早已了解,高些版本的TIA Portal软件相匹配的OMSp_core_managed.dll版本亦高些、更繁杂,因而调试工作中应用较低版本的DLL为总体目标(即挑选TIA Portal V13,则PLC只有应用V4.1及下列版本),便于于剖析和把握调试方式。

调试科学研究的基础自然环境配备以下:Win7x86vm虚拟机、

PLC:S7-1200?, 6ES7 212-1BG40-0X0B

Firmware: V4.1.3

Software:TIA Portal V13

S7Comm-Plus Wireshark dissector plugin: V0.0.8

参照文章内容均强调PLC完成通讯挥手、加密验证的作用在控制模块OMSp_core_managed.dll中完成,由此可见对该文件的剖析至关重要。OMSp_core_managed.dll是一个应用C#和C 混和撰写的.net程序流程,应用dnSpy对其开展反汇编:

怎样定位加密函数的通道呢?这里出示二种构思:

1、立即应用dnSpy对DLL文件开展动态调试

dnSpy载入DLL文件,应用“调试”->“额外到过程”作用,额外TIA的过程:

在DLL中先随意打一个中断点,可参照文章内容中强调的SetServerPublicKey:

在dnSpy中试着关键字搜索,結果以下:

由此可见该函数坐落于“ClientSession”类中,在这里函数出设定一个中断点,随后实际操作TIA将PLC“转到发布”,转到发布时TIA与PLC将创建通讯联接,这时必定历经三次握手及通讯加密全过程,可见到函数实行到刚刚打的中断点部位:

查询“局部变量”中的“key”,发觉其早已有值,长短为40的二维数组:

此值即是上一篇文章中提及的S7-1200系列产品的public key的值。

在dnSpy中再次开展单步实行,历经数次调试能够见到,当calli实行结束以后,TIA与PLC通讯创建进行,calli全过程就是在C#中启用C 编码:

调试全过程中关心表针session_ptr的值,这里为0x2B9E71C0:

终止dnSpy调试,应用IDA额外TIA过程,因为TIA过程一直处在运作中,其运行内存载入详细地址室内空间将维持不会改变,根据所述函数表针最后测算得0x65D77310:

F5查询伪代码发觉其启用了三个函数:

再次跟踪查询,能够发觉函数sub_65D7CD40即是之一部分加密函数。

2、应用IDA对DLL文件开展动态调试

参照启明星辰的文章内容能够发觉其应用了Windbg开展调试,且留有一些“印痕”,如下图所显示:

因而能够考虑到检索图中中发生的字节码,因此应用IDA额外TIA过程,试着检索“e8 9e f9 ff ff”,結果以下:

这里精准定位到函数sub_65D793B0,发觉与启明星辰文章内容中的截屏甚为类似:

应用0x65D793B0减掉DLL函数的base(0x65BA0000)結果恰好为:0x1D93B0,与启明星辰文章内容中的函数sub_1D93B0恰好相匹配,因而能够推论调试自然环境两者之间同样,那麼函数sub_65D793B0即是sub_1D93B0,依次类推:sub_65D790B0即是IntegratyPartEncrytion函数。应用相近的 *** 检索精准定位到加密1函数:

与毕业论文中得出的实际效果一致:

进一步应用参照启用作用,能够上溯加密函数通道sub_65D77310,与之一种 *** 获得的結果一致。

精准定位到承担加密验证的函数以后,便可再次应用动态调试对全部加密优化算法步骤开展认证和测算了。图中启明星辰的文章内容中强调,加密1一部分的內容为Value array(即上一篇文章中提及的20个字节数的随机数字)历经加密1函数加密以后的結果,加密的全过程为一系列XOR计算,而最后加密的結果储存在v13-v16中。因此能够在加密1函数中下一个中断点,随后开展单步调试,监管v13-v16的值:

一样开启wireshark抓包软件,实际操作TIA将PLC“转到发布”,函数实行到刚刚打的中断点部位。另外能够见到挥手的前2步顺利完成,TIA接到PLC推送的20个字节数随机数字:

再次单步实行,当v13-v16计算进行以后,可从左侧自变量监管栏获得最后计算結果:

在这里先纪录v13-v16的值:v13(0x52CF7D4E)、v14(0x9603F213)、v15(0x50639E99)、v16(0xC452A5E3),待全部挥手全过程进行以后,在M3数据文件中的“SecurityKeyEncryptedKey”字段名中去认证:

留意大小端模式,不难看出,其值与加密1內容彻底符合。

根据对西门子PLC全新的S7Comm-Plus通讯协议的了解,应用反汇编工具对关键通讯DLL开展反向和动态调试,详细介绍了二种精准定位加密函数通道的方式,另外应用IDA动态调试,测算并认证了加密1的結果內容,从动态调试的视角对加密优化算法开展了进一步了解。事后的加密流程及优化算法的认证,可参考相近方式再次开展。

参考文献:

[1]?

[2]

[3]

[4]

【安全性科学研究】S7commPlus协议书科学研究

零信任: *** 信息安全防御力构思的完全转型

Mount Locker勒索病毒方案对于税务部门总体目标进行进攻

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全:2020年勒索软件导致的财产损失升高50%

相关文章

贵阳商务伴游群【王景玉】

贵阳商务伴游模特群【王景玉】 今天给大家分享的内容是“贵阳商务伴游模特群【王景玉】”,我是王景玉,来自遵义市,今年22岁,作为职业:商务伴游,我热爱我的职业:商务伴游。三圍:胸65腰90臀68 鞋...

2021年运势最好的生肖排名-2021年运势好的生肖是什么-2021年运势好的属相是什么

不知道你是否相信运气这个东西,运气是你信则有不信则无的东西,看不见摸不着,但有时候能够真真切切的感受到,有时候感觉自己的时运不齐去占比算卦,想要了解自己什么时候运气会变好,对于即将来临的2021年,有...

乐高我的世界菜鸟vs黑客(我的世界菜鸟pk黑客)

乐高我的世界菜鸟vs黑客(我的世界菜鸟pk黑客)

本文导读目录: 1、我的世界黑客端sigma,水影,flux,vape哪个更好? 2、我的世界高手与菜鸟的差距哪个最搞笑 3、我的世界动画菜鸟和高手的区别1 4、听说我的世界服务器被黑客攻...

盗取别人的q q软件(盗取qq密码软件)

无毒的?悬赏分0?凭什么呢。怎么大家都认为百度真有那么多热心人。 因为现在很多发信服务器对啊拉QQ大盗发的信息进行了屏蔽所以,你可以申请一些用的人比较少的邮件。你申请两个信箱,一个发信,一个收信,不会...

知识图谱如何让“人工智能”更智能?

知识图谱如何让“人工智能”更智能?

一、为什么人人都谈论的人工智能是不智能的? 1. 自动驾驶这个行业所存在的问题 我们一起先来聊聊自动驾驶这个话题,先说下结论,无论是自动驾驶、机器人还是人工智能的任何领域都高度依赖于历史的数据,并且...

魔力宝贝怎么赚钱?魔力宝贝之护士赚钱攻略

魔力宝贝怎么赚钱?魔力宝贝之护士赚钱攻略

魔力宝贝里有一个神秘的职业。这个职业可以35级上雪山,这个职业可以三天一转,这个职业在所有人挣扎在新村的时候可以在诏三享受大魔石和高经验,这个职业在别人还去新城蓝五的时候,就可以轻松砍牛升级。这个职业...