[PLC解密] 信捷PLC的解密方法

经笔者试验，信捷PLC在设计方面有几个漏洞，可以用于PLC解密。  先说软件方面的两个漏洞：  第一， 在PLC已加密的情况下，如果最后一次PLC与电脑连接时，曾向PLC输入密码，在 退出软件前PLC是在线状态的，那么通过串口向PLC发送如下十六进制代码： 先发，  01 01 74 02 00 01 47 FA  再发，  01 03 44 54 00 01 D1 2A 最后发，  01 03 44 0A 00 03 31 39   这时PLC就会直接返回11个字节： 01 03 06 313233343536 C5 5C  在这11个字节中，前3字节是地址和命令代码，最后2字节是CRC校验的高字节和低字节；从第4字节到第9字节，这6位就是密码了，可以直接对应ASCII码表翻译出来，如上面的31-36就是十进制的1-6，所以返回的密码就是123456。  第二， 除了上面的漏洞，还有一个就是，可以通过试错来得到，  信捷的密码解除指令为： 01 03 40 0A 00 01 B1 CB   发出这个指令与01 01 74 02 00 01 47 FA  都会访问密码，不过后者在返回密码后还会上传程序，前者只是单纯的解除密码。 在发出这个指令后，再发如下指令 01 10 44 2C 00 03 06 * * * * * *# $ *表示十六进制的密码，＃表示CRC校验的高字节，$表示CRC校验的低字节，这串代码需要用计算机自动发送，运气好的情况下，很快会返回密码。这个方法同样适用于三菱等PLC。  再谈谈硬件方面的漏洞：  先发张图看看，下面的图是信捷XC3-24RT-E的PLC的拆机照片，

1. 图中最上方的PLCC封装的芯片，是PLC的控制芯片。我们知道，在软件上PLC的组成 由系统程序和用户程序组成。系统程序有的也称自举程序，用户程序是用户也就是PLC使用者编写的程序。该块芯片内存放的，就是系统程序。  2. 图中下方右侧是一片单片机，它的作用是辅助主芯片进行系统方面的控制。  3. 图中下方左侧的一大一小两片芯片是存储用户程序的内存芯片，也就是说我们编写的 PLC控制程序都是存放在这里面的。  4. 其他的芯片，包括驱动芯片，通信芯片，运放等等与我们破解无关，就不细述了。 在了解了以上内容后，大家会有疑惑了，PLC程序我们知道在哪里了，问题是密码在哪里呀？其实这个问题很简单，密码一般是放在内存中的，当然也有存放在主控芯片中的。但是无论哪种情况，主控芯片在初始化扫描程序的时候，一定会扫描自身的某个寄存器，这个寄存器存放的是一个标志，即程序有无加密的标志。如果该寄存器被置位（表示程序已加密），那么在运行上位机软件登录时就调用密码输入程序，反之则不进行密码输入程序的调用，直接调用用户程序。因此，一切的玄机都在这个神奇的寄存器中！  我们在无法改变这个特殊寄存器的值的情况下怎么办呢？怎么才能绕过密码读取程序呢？或者直接得到密码呢？ 方法有两个：一，更换控制芯片，内存芯片不变，这时PLC的程序就可以直接读出来了；二，更换内存芯片，将内存芯片更换到另一块没有密码的板子上，亦可以直接读出程序。 以上就是此次介绍的利用漏洞破解信捷PLC密码的全部方法了！ 除了以上的，当然还有一些其他的漏洞，在此就不分享了。  最后给诸位分享一组万能代码：31 35 32 37 39 31 39 35 31 39 31   使用串口工具发送模式，输入万能代码，然后在HEX/ASCII中切换至ASCII形式，将代码发送即可。  技术需要交流才能进步，望诸位不吝门户之见，坦诚交流。