下面来到了S7-1200这个系列， 这个系列是西门子小 型PLC产品线里信息安全强度最强的。 最新的V4.x版 本，它的可靠性、安全性做的比较好，现在在中国市 场也属于一个高端的PLC。但它的密码设置和上面几 个不一样，上面几个都是设置一个密码或者几个密 码，它则是设了三个密码，而且对应不同的权限。如 果你要访问这个权限访问里面的功能，就必须输入对 应权限级别的密码。 西门子宣传得应该也不假，我们就先试一试，看通过 之前的方法到底行不行。

先从流量方面看一下。 经过 分析，这个是采用了S7Commplus V3版本。这个版 本非常强悍，用了很多密码学的知识，在2019年的 Blackhat USA中，以色列的一个研究团队披露出来 它的使用了N多种加密的算法，加密强度非常强，而 且对重点的操作流量还带有控制器的私钥保护，所以 很难从流量中直接获取到关键信息。

第二步，能不能从硬件入手呢？结果看了一下， 2019年之后它用的都是美光的NW812，2019年之前 用的都是NQ281，这都是BGA的分装的flash，拆焊 难度比较大，损坏模块的风险也比较高。一个PLC模 块2000左右人民币，一焊坏2000人民币就毁了，而 且实验室现在也不具备这样的条件，所以这条路我暂 时没走，如果有大牛能走通可以试一试。

再看第三条思路，在线爆破行不行呢？这就意味着要 伪造一个客户端，把它的算法全套逆向出来，自己再 写一个伪造客户端，这个难度也比较大也比较耗时。 而且控制器一般都对特定的请求， 速率是有限制的， 比如说限制了一秒一次，尝试多了就断开链接了，所 以破解效率比较低。

最后，离线爆破行不行呢？虽然它的密码算法复杂度 一般，但是hash算法被控制器里的私钥保护着，也 没法从流量中获得20个字节的hash和22字节的 rkey，所以这条路也走不通。

天无绝人之路，柳暗花明又一村。 2019年11月的时 候，有一个团队披露出S7-1200系列的一个漏洞，这 算是西门子的一个后门设置。也不知道为什么留了这 样一个后门，通过它的UART接口，发送一个命令就 可以进入诊断模式，可以做很多的事情，比如说任意 代码执行，做内存取证或者分析固件，分析后再配合 fuzzing工具做漏洞挖掘，甚至还可以把整个内存片 区dump出来，寻找一些我们想要的信息。

分析到这里我们眼前一亮， 是不是可以从内存中找一 点干货出来，说干就于。利用这个漏洞去突破S7- 1200最新版本固件。先去研究和复现这个漏洞，再 转储整个内存区，找密码的相关信息。最后，直接把 它的组成软件TIA挂载起来在调试的阶段进行hash传 递攻击，就大功告成了。

下面看我是怎么一步一步做的。 先复现， 复现这个还 是有难度的，要搭这样一个环境，注意一定要让控制 器在500毫秒内进入一个特殊的模式。最主要的难度 还在于，虽然它有一个后门，但是如何利用这个后 门，客户端如何写呢？ 我们开发出了一个基于Windows上的UART 客户 端，基于这个UART 客户端， 给PLC下 传了一个井字游戏代码，此时的控制器就变成了一个 游戏机，可以玩游戏了，这就说明漏洞利用成功。然 后调整下传的代码，可以把内存整体转储出来，看看 里面到底有什么东西。

我们的实验对象 是1215C V4.4.1最新的固件版本，转储出来有128M 容量，前面是一个BootLoader，随后跟的都是一些 代码数据。 这边是一个固件IDA分析截图，内存里面 还包含了固件，固件里面很多点都是值得研究的。通 过该手段， 就可以拿到PLC的非加密固件了。

固件有三部分，代码段、只读数据段还有一个数据 段。 我们今天的目的是密码突破，那这个时候就要去 找密码到底在哪存着。经过分析之后，它是以SHA-1 的形式存放的，先是密码3的20个字节Hash，接着 是密码2的Hash、密码1的Hash，是在内存的BSS段 里面存放着。接下来找到hash之后就非常容易了， 直接在PLC的客户端挂载一个调试器找到关键点后， 把我们找上来的hash密码直接替换掉这个hash，进 行hash传递攻击。这样就把S7-1200系列的密码保护 机制攻破掉了 总结一下，S7-1200系列可以说是工业控制领域PLC 设备中比较强悍的了，在它的设计里能用的一些算 法、保护几乎全都用了，比如说使用了私钥加密了核 心的操作流量， 通讯协议采用了完整性校验，而且动 态随机数也参与到了hash的运算里面。但是再强的 保护也会有被攻破的时候。这个攻克方法就是深入研 究控制器的内存读写漏洞，制作工具转储内存，从内 里寻找更多的宝藏