【安全性科学研究】S7commPlus协议书科学研究之动态调试

作者:w841595
围观群众:157
更新于

根据以前的工作中早已了解,高些版本的TIA Portal软件相匹配的OMSp_core_managed.dll版本亦高些、更繁杂,因而调试工作中应用较低版本的DLL为总体目标(即挑选TIA Portal V13,则PLC只有应用V4.1及下列版本),便于于剖析和把握调试方式。

调试科学研究的基础自然环境配备以下:Win7x86vm虚拟机、

PLC:S7-1200?, 6ES7 212-1BG40-0X0B

Firmware: V4.1.3

Software:TIA Portal V13

S7Comm-Plus Wireshark dissector plugin: V0.0.8

参照文章内容均强调PLC完成通讯挥手、加密验证的作用在控制模块OMSp_core_managed.dll中完成,由此可见对该文件的剖析至关重要。OMSp_core_managed.dll是一个应用C#和C 混和撰写的.net程序流程,应用dnSpy对其开展反汇编:

怎样定位加密函数的通道呢?这里出示二种构思:

1、立即应用dnSpy对DLL文件开展动态调试

dnSpy载入DLL文件,应用“调试”->“额外到过程”作用,额外TIA的过程:

在DLL中先随意打一个中断点,可参照文章内容中强调的SetServerPublicKey:

在dnSpy中试着关键字搜索,結果以下:

由此可见该函数坐落于“ClientSession”类中,在这里函数出设定一个中断点,随后实际操作TIA将PLC“转到发布”,转到发布时TIA与PLC将创建通讯联接,这时必定历经三次握手及通讯加密全过程,可见到函数实行到刚刚打的中断点部位:

查询“局部变量”中的“key”,发觉其早已有值,长短为40的二维数组:

【安全性科学研究】S7commPlus协议书科学研究之动态调试

此值即是上一篇文章中提及的S7-1200系列产品的public key的值。

在dnSpy中再次开展单步实行,历经数次调试能够见到,当calli实行结束以后,TIA与PLC通讯创建进行,calli全过程就是在C#中启用C 编码:

调试全过程中关心表针session_ptr的值,这里为0x2B9E71C0:

终止dnSpy调试,应用IDA额外TIA过程,因为TIA过程一直处在运作中,其运行内存载入详细地址室内空间将维持不会改变,根据所述函数表针最后测算得0x65D77310:

【安全性科学研究】S7commPlus协议书科学研究之动态调试

F5查询伪代码发觉其启用了三个函数:

再次跟踪查询,能够发觉函数sub_65D7CD40即是第一部分加密函数。

2、应用IDA对DLL文件开展动态调试

参照启明星辰的文章内容能够发觉其应用了Windbg开展调试,且留有一些“印痕”,如下图所显示:

因而能够考虑到检索图中中发生的字节码,因此应用IDA额外TIA过程,试着检索“e8 9e f9 ff ff”,結果以下:

这里精准定位到函数sub_65D793B0,发觉与启明星辰文章内容中的截屏甚为类似:

应用0x65D793B0减掉DLL函数的base(0x65BA0000)結果恰好为:0x1D93B0,与启明星辰文章内容中的函数sub_1D93B0恰好相匹配,因而能够推论调试自然环境两者之间同样,那麼函数sub_65D793B0即是sub_1D93B0,依次类推:sub_65D790B0即是IntegratyPartEncrytion函数。应用相近的方法检索精准定位到加密1函数:

与毕业论文中得出的实际效果一致:

【安全性科学研究】S7commPlus协议书科学研究之动态调试

进一步应用参照启用作用,能够上溯加密函数通道sub_65D77310,与第一种方法获得的結果一致。

精准定位到承担加密验证的函数以后,便可再次应用动态调试对全部加密优化算法步骤开展认证和测算了。图中启明星辰的文章内容中强调,加密1一部分的內容为Value array(即上一篇文章中提及的20个字节数的随机数字)历经加密1函数加密以后的結果,加密的全过程为一系列XOR计算,而最后加密的結果储存在v13-v16中。因此能够在加密1函数中下一个中断点,随后开展单步调试,监管v13-v16的值:

一样开启wireshark抓包软件,实际操作TIA将PLC“转到发布”,函数实行到刚刚打的中断点部位。另外能够见到挥手的前2步顺利完成,TIA接到PLC推送的20个字节数随机数字:

再次单步实行,当v13-v16计算进行以后,可从左侧自变量监管栏获得最后计算結果:

在这里先纪录v13-v16的值:v13(0x52CF7D4E)、v14(0x9603F213)、v15(0x50639E99)、v16(0xC452A5E3),待全部挥手全过程进行以后,在M3数据文件中的“SecurityKeyEncryptedKey”字段名中去认证:

留意大小端模式,不难看出,其值与加密1內容彻底符合。

根据对西门子PLC全新的S7Comm-Plus通讯协议的了解,应用反汇编工具对关键通讯DLL开展反向和动态调试,详细介绍了二种精准定位加密函数通道的方式,另外应用IDA动态调试,测算并认证了加密1的結果內容,从动态调试的视角对加密优化算法开展了进一步了解。事后的加密流程及优化算法的认证,可参考相近方式再次开展。

参考文献:

[1]?

[2]

【安全性科学研究】S7commPlus协议书科学研究之动态调试

[3]

[4]

【安全性科学研究】S7commPlus协议书科学研究

零信任:网络信息安全防御力构思的完全转型

【安全性科学研究】S7commPlus协议书科学研究之动态调试

Mount Locker勒索病毒方案对于税务部门总体目标进行进攻

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全:2020年勒索软件导致的财产损失升高50%

【安全性科学研究】S7commPlus协议书科学研究之动态调试

非特殊说明,本文版权归 成益经验网 所有,转载请注明出处.

本文分类: 话题

本文标题: 【安全性科学研究】S7commPlus协议书科学研究之动态调试

本文网址: http://chengyi0769.com/huati/837.html

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。