晉江速捷自動化科技有限公司

信捷PLC的解鎖具有一定的難度,很多人特別是新入門者,會覺得很難解。下面就分享一下筆者的一些經驗,供大家參ꩵ考。經筆者試驗,信捷PLC在設計方面有幾個漏洞,可以用于PLꦦC解鎖。 

先說軟件方面的兩個漏洞: 

*, 在PLC已加密的情況下,如果較后一次PLC與電腦連接時,曾向PLC輸入密碼,在

退出軟件前PLC是在線狀態的,那么通過串口向PLC發送如下十六進制代碼: 先發, 

01 01 74 02 00 01 47 FA 

再發, 

01 03 44 54 00 01 D1 2A 較后發, 

01 03 44 0A 00 03 31 39  

這時PLC就會直接返回11個字節: 01 03 06 313233343536🐈 C5 5C♔ 

在這11個字節中,前3字節是地址和命令代碼,較后2字節是CRC校驗的高字節和低字節;從第4字節到第9字節,這6位��就是密碼了,可以直接對應ASCII碼表翻譯出來,如上面的31-36就是十進制的1-6,所以返𓆏回的密碼就是123456。 

第二, 除了上面的漏洞,還有一個就是,可以通過試錯來得到, 

信捷的密碼解除指令為: 01 03 40 0A 00 01 B1 CB  

發出這個指令與01 01 74 02 00 01 47 FA 

都會訪問密碼,不過后者在返回密碼后還會上傳*,前者只是單純的解除密碼。🌞 在發出這個指令后,再▨發如下指令 01 10 44 2C 00 03 06 * * * * * *# $ *表示十六進制的密碼,#表示CRC校驗的高字節,$表示CRC校驗的低字節,這串代碼需要用計算機自動發送,運氣好的情況下,很快會返回密碼。這個方法同樣適用于三菱等PLC。 

再談談硬件方面的漏洞: 

先發張圖看看,下面的圖是信捷XC3-24RT-E的PLC的拆機照片, 
 

說說這個板子上的東西吧,下面介紹其中的芯片: 
 

1. 圖中較上方的PLCC封裝的芯片,是PLC的控制芯片。我們知道,在軟件上PLC的組成

由系統*𓆏和用戶*組成。系統*有的也稱自舉*,用戶*是用戶也就是PLC使用者編寫的*。該塊ꩵ芯片內存放的,就是系統*。 

2. 圖中下方右側是一片單片機,它的作用是輔助主芯片進行系統方面的控制。 

3. 圖中下方左側的一大**兩片芯片是存儲用戶*的內存芯片,也就是說我們編寫的

PLC控制*都是存放在這里面的。 

4. 其他的芯片,包括驅動芯片,通信芯片,運放等等與我們無關,就不細述了。 在了解了以上內容后,大家會有疑惑了,PLC*我們知道在哪里了,問題是密碼在哪里呀?其實這個問題很簡單,密碼一般是放在內存中的,當然也有存放在主控芯片中的。但是無論哪種情況,主控芯片在初始化掃描*的時候,一定會掃描自身的某個寄存器,這個寄存器存放的是一個標志,即*有無加密的標志。如果該寄存器被置位(表示*已加密),那么在運行上位機軟件登錄時就調用密碼輸入*,反之則不進行密碼輸入*的⛄調用,直接調用用戶*。因此,一切的玄機都在這個神奇的寄存器中! 

我們在無法改變這個特殊寄存器的值的情況下怎么辦呢?怎么才能繞過密碼讀取*呢?或者直接得到密碼呢? 方法有兩個:一,更換控制芯片,內存芯片不變,這時PLC的🐽*就可以直接讀出來了;二,更換內存芯片,將內存芯片更換到另一塊沒有密碼的板子上,亦可以直接讀出*。 以上就是此次介紹的利用漏洞信捷PLC密碼的全部方法了! 除了以𓃲上的,當然還有一些其他的漏洞,在此就不分享了。

較后給諸位分享一組*代碼:51 51 31 35 30 35 39 37 39 31 36 33 32   使用串口工具發送模式,輸入*代碼,然后在HEX/ASCII中切換至ASC🌜🐻II形式,將代碼發送即可。  

技術需要交流才能進步,望諸位不吝門戶之見,坦誠交流。