工控安全 技术分享

另类识别接入公网的控制器都是干嘛的

1、如果设备以太网通讯基于EtherNet/IP协议(TCP/44818端口)是可以通过协议的List Identity(0x0063)属性,读取设备的真实的IP。可以确定的是用户因为某些原因将设备端口有意或者无意间将设备映射到了公网,能直接判断设备工作在内网还是使用固定IP将PLC接入网络的,至于是备机还是测试实验设备等都可以使用其他方面验证。如下图
EtherNet/IP识别和协议读取截图
discovery1
discovery2
SHODAN收录部分数据截图
discovery3
2、西门子S7系列PLC在以太网通讯时使用ISO-TSAP协议(通过TCP/102端口),可以通过SZL属性读PLC信息,在其中的一个字段中可以返回PLC Name(即最初使用STEP7组态创建PLC工程时定义的站名,这里需要注意因为大家可能习惯给PLC定义一个新的名称,而定义的一些名称都有可能泄露该设备的用途),针对西门子S7系列PLC还可通过远程取出程序块(实现可参考开源西门子S7通讯库libnodave等)二次应用分析程序逻辑。如图可参考SHODAN中的一些案例。
SHODAN收录部分数据截图
discovery4
discovery5
3、某些PLC可能存在FTP服务,使用默认口令登录后可以回传用户文件,如三菱Q系列
discovery6
4、最关键使用以太网方式通讯的PLC等模块,直接上官方的编程软件配置(如果软件软性限制了IP类型这里可参考端口转发)。

以上只是简单列举几列与大家分享和参考,更多等着你发现 🙂

About Z-0ne

Leave a Reply

Your email address will not be published. Required fields are marked *

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据