施耐德PLC漏洞历险记

工控安全是维护国家基础设施的安全，可工控设备并不像web那么常见，因此工控安全的研究较之web安全也相对迟缓。最近，瑞不可当工控团队入手了一台施耐德PLC，就让我们一起本着增加自身知识储备、实践维护国家安 全，怀着激动的心开始守卫世界和平啦。

施耐德PLC系列介绍

Twido，小型PLC，编程平台是TwidoSoft或TwidoSuite；

M218，M238，M258,编程平台是SoMachine;

M340，中型PLC，跟西门子S7-300性能接近，编程平台是Unitry；

Premium，中型PLC，跟西门子S7-300性能接近，新的编程平台是Unitry， 原来是PL7 Pro；

Quantumn，大型PLC，跟西门子S7-400性能接近，新的编程平台是Unitry， 原来是Concept；

Quantumn系列主要设备型号如下图所示：

Modicon Quantum自动化控制平台拥有业界领先的性能，包含：

5种IEC编程语言（FBD 、LD、SFC 、ST 、IL）适用于各种应用需求

高性能多任务系统

高达11M 集成 储存空间

涂层保护模块，适用于恶劣环境；安全I/O,高可靠性；支持第三方设备

高性能热备解决方案。每个模块均有小型LCD荧幕及按键，便于本地监控

前面板有多个内置端口（USB、Ethernet TCP/IP、Modbus Plus、以及至少一个 Modbus 端口）

本地机架上可安装第三方模块以连接Profibus-DP

本次拿到的PLC是Quantumn系列的140CPU65150。

图种各模块功能如下：

140 CPS 22400 电源输入模块
140 CPU 65150 CPU模块
140 NOE 77101 以太网模块
140 CRA 31200 RIO以太网模块
140 ACI 04000 模拟量输入16通道电流模块

测试过程

接下来就是接电连网线了，调通设备

磨刀不误砍柴功，首先来简单探测下端口：

接下来一个个试一下。

这不是我们最最最最熟悉的80口吗？尝试访问下，有点东西：

页面内容不多，有几个需要密码：

不过问题不大，咱浪迹BS架构那么多年，也不能白混，OWASP Top10试试，比如CSRF漏洞：

1）如修改密码，先生成poc：

2）执行成功：

3）使用新用户名密码“123 /123”,成功登录：

再试试别的，比如，任意URL跳转：

再比如，任意文件读取漏洞：

可以拿下部分文件，包含jar包：

逐个查找，反编译文件，找出FTP弱口令（也就是FTP硬编码漏洞）：

试验可用，并可以看到包含文件：

亦可以成功下载：

打开康康：

本篇文章主要是渗透测试工控设备的流程，快乐的时光总是短暂的，是不是感觉意犹未尽？那就尽请期待下一篇吧！！！