西门子CPU414-3PN/DP中央控制单元西门子代理商

西门子CPU414-3PN/DP中央控制单元西门子代理商

西门子CPU414-3PN/DP中央控制单元西门子代理商

浔之漫智控技术有限公司西门子代理。

浔之漫智控技术有限公司主要产品有“PLC，变频器，触摸屏，模块，传感器，低压器，伺服电机，工控机”。全新原装，质量保证，保修一年，价格合理，支持技术服务！SIEMENS可编程控制器

1、 SIMATIC S7 系列PLC：S7-200、S7-1200、S7-300、S7-400、ET-200

2、 逻辑控制模块 LOGO！230RC、230RCO、230RCL、24RC、24RCL等

3、 SITOP直流电源 24V DC 1.3A、2.5A、3A、5A、10A、20A、40A可并联.

4、HMI 触摸屏TD200 TD400C K-TP OP177 TP177,MP277 MP377,

 SIEMENS 交、直流传动装置

1、 交流变频器 MICROMASTER系列：MM420、MM430、MM440、G110、G120.　　　　　　　　　

MIDASTER系列：MDV

2、全数字直流调速装置 6RA23、6RA24、6RA28、6RA70、6SE70系列

SIEMENS 数控 伺服

SINUMERIK:801、802S 、802D、802D SL、810D、840D、611U、S120

“信誉第一，客户至上”是公司成立之初所确立的宗旨，在公司领导的严格要求和员工们不折不扣地贯彻执行下发展延续至今。“假一罚十”一直是我公司的主动承诺。

工业以太网的地址如何获取

1.MAC地址洪阳设备

  在0SI(开放系统互连)7层网络协议参考模型中，第2层(数据链路层)由MAC(Media AccessControl，媒体访问控制)子层和LLC(逻辑链路控制)子层组成。

  MAC地址也叫物理地址、硬件地址或链路地址。MAC地址是识别LAN(局域网)节点的标识，即以太网接口设备的物理地址。它通常由设备生产厂家写入EEPROM或闪存芯片，在传输数据时，用MAC地址标识发送和接收数据的主机的地址。在网络底层的物理传输过程中，通过MAC地址来识别主机。MAC地址是48位二进制数，通常分为6段(6B)，一般用十六进制数表示，例如00-05-BA-CE-07-0C。其中的前6位十六进制数是网络硬件制造商的编号，它由IEEE(电气与电子工程师协会)分配，后6位十六进制数代表该制造商制造的某个网络产品(例如网卡)的系列号。形象地说，MAC地址就像我们的身份证号码，具有全球唯一性。

  在WindowsXP中，执行菜单命令“开始”→“运行”，在出现的“运行”对话框中输入“CMD”后按(Enter)键，在出现的DOS窗口中输入命令行“ipconfig/all”后按《Enter)键，将显示出计算机网卡的物理地址(即MAC地址)、IP地址和子网掩码等。

  MAC地址是以太网包头的组成部分，以太网交换机根据以太网包头中的MAC源地址和 MAC 目的地址实现包的交换和传递。如果使用ISO 协议，必须输入模块的 MAC 地址。

  可以通过下载组态信息，修改SIMATIC以太网CP模块的MAC地址。

  2.IP地址

  为了使信息能在以太网上准确快捷地传送到目的地，连接到以太网的每台计算机必须拥有一个唯一的地址。为每台计算机指定的地址称为IP地址。

  IP地址由32位二进制数(4B)组成，是Internet(网际)协议地址，每个Internet包必须有IP地址，每个Internet服务提供商(ISP)必须向有关组织申请一组IP地址，一般是动态分配给其用户，用户也可以根据接入方式向ISP申请一个IP地址。

  IP地址通常用十进制数表示，用小数点分隔，例如192.168.0.117。

  同一个IP地址可以使用具有不同MAC地址的网卡，更换网卡后可以使用原来的IP 地址。

  3.子网掩码

  子网掩码(Subnet mask)是一个32位地址，用于将网络划分为一些小的子网。IP地址由子网地址和子网内的节点地址组成，子网掩码用于将这两个地址分开。由子网掩码确定的两个IP地址段分别用于寻址子网IP和节点IP。二进制的子网掩码的高位应是连续的1，低位应是连续的0。以子网掩码255.255.255.0为例，其高24位二进制数为1，表示IP地址中的网络标识(类似于长途电话的地区号)为24位低8位二进制数为0，表示子网内节点的标识(类似于长途电话的电话号)为8位。IP地址和子网掩码进行“与”逻辑运算，得到子网地址。IP地址和子网掩码取反后得到的0.0.255进行“与”逻辑运算，得到节点地址。

一位大神破解西门子1200的思路

下面来到了S7-1200这个系列， 这个系列是西门子小 型PLC产品线里信息安全强度*强的。
*新的V4.x版 本，它的可靠性、安全性做的比较好，现在在中国市 场也属于一个高端的PLC。但它的密码设置和上面几个不一样，上面几个都是设置一个密码或者几个密 码，它则是设了三个密码，对应不同的权限。如果你要访问这个权限访问里面的功能，就必须输入对 应权限级别的密码。
西门子宣传得应该也不假，我们就先试一试，看通过 之前的方法到底行不行。

先从流量方面看一下。
经过 分析，这个是采用了S7Commplus V3版本。这个版 本非常强悍，用了很多密码学的知识，在2019年的 BlackhatUSA中，以色列的一个研究团队披露出来 它的使用了N多种加密的算法，加密强度非常强，而 且对重点的操作流量还带有控制器的私钥保护，很难从流量中直接获取到关键信息。

第二步，能不能从硬件入手呢？结果看了一下， 2019年之后它用的都是美光的NW812，2019年之前用的都是NQ281，这都是BGA的分装的flash，拆焊 难度比较大，损坏模块的风险也比较高。一个PLC模块2000左右人民币，一焊坏2000人民币就毁了，而 且实验室现在也不具备这样的条件，这条路我暂时没走，如果有大牛能走通可以试一试。

再看第三条思路，在线爆破行不行呢？这就意味着要 伪造一个客户端，把它的算法全套逆向出来，自己再写一个伪造客户端，这个难度也比较大也比较耗时。 控制器一般都对特定的请求， 速率是有限制的，比如说限制了一秒一次，尝试多了就断开链接了，所 以破解效率比较低。

*后，离线爆破行不行呢？它的密码算法复杂度 一般，hash算法被控制器里的私钥保护着，也没法从流量中获得20个字节的hash和22字节的 rkey，这条路也走不通。

天无绝人之路，柳暗花明又一村。
2019年11月的时 候，有一个团队披露出S7-1200系列的一个漏洞，这 算是西门子的一个后门设置。也不知道为什么留了这样一个后门，通过它的UART接口，发送一个命令就 可以进入诊断模式，可以做很多的事情，比如说任意代码执行，做内存取证或者分析固件，分析后再配合 fuzzing工具做漏洞挖掘，甚至还可以把整个内存片区dump出来，寻找一些我们想要的信息。

分析到这里我们眼前一亮， 是不是可以从内存中找一 点干货出来，说干就于。利用这个漏洞去突破S7-1200*新版本固件。先去研究和复现这个漏洞，再 转储整个内存区，找密码的相关信息。*后，直接把它的组成软件TIA挂载起来在调试的阶段进行hash传 递攻击，就大功告成了。

下面看我是怎么一步一步做的。
先复现， 复现这个还 是有难度的，要搭这样一个环境，注意一定要让控制 器在500毫秒内进入一个特殊的模式。*主要的难度还在于，它有一个后门，如何利用这个后 门，客户端如何写呢？ 我们开发出了一个基于Windows上的UART 客户端，基于这个UART 客户端， 给PLC下 传了一个井字游戏代码，此时的控制器就变成了一个游戏机，可以玩游戏了，这就说明漏洞利用成功。然 后调整下传的代码，可以把内存整体转储出来，看看 里面到底有什么东西。

我们的实验对象 是1215C V4.4.1*新的固件版本，转储出来有128M 容量，前面是一个BootLoader，随后跟的都是一些代码数据。 这边是一个固件IDA分析截图，内存里面 还包含了固件，固件里面很多点都是值得研究的。通 过该手段，就可以拿到PLC的非加密固件了。

固件有三部分，代码段、只读数据段还有一个数据 段。
我们今天的目的是密码突破，那这个时候就要去 找密码到底在哪存着。经过分析之后，它是以SHA-1的形式存放的，先是密码3的20个字节Hash，接着 是密码2的Hash、密码1的Hash，是在内存的BSS段里面存放着。找到hash之后就非常容易了， 直接在PLC的客户端挂载一个调试器找到关键点后，把我们找上来的hash密码直接替换掉这个hash，进 行hash传递攻击。这样就把S7-1200系列的密码保护 机制攻破掉了
一下，S7-1200系列可以说是工业控制领域PLC 设备中比较强悍的了，在它的设计里能用的一些算法、保护几乎全都用了，比如说使用了私钥加密了核 心的操作流量， 通讯协议采用了完整性校验，动态随机数也参与到了hash的运算里面。再强的 保护也会有被攻破的时候。这个攻克方法就是深入研究控制器的内存读写漏洞，制作工具转储内存，从内 里寻找更多的宝藏