中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何PWN掉Scalance工控設備

發布時間:2021-12-22 17:08:53 來源:億速云 閱讀:164 作者:柒染 欄目:網絡安全

本篇文章為大家展示了如何PWN掉Scalance工控設備,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

在對船舶控制系統進行測試時,我們注意到控制系統對Scalance工業以太網交換機的嚴重依賴,因此為對其進行了深入研究。經過逆向發現可使用靜態密鑰對管理密碼進行可逆加密,并使用不同的密鑰對用戶密碼進行可逆加密。

以下是我們找到靜態密鑰的方法。

如何PWN掉Scalance工控設備

研究開始于配置文件,密碼看起來很不尋常,似乎不是單向哈希。 已有漏洞可用于恢復配置文件和固件,這意味著攻擊者可以訪問此信息:

如何PWN掉Scalance工控設備

密碼很短小,長度取決于密碼大小,并會被填充至8個字符。 這意味著使用的是分組密碼進行加密。

其中用于測試的64位大小的密碼表明利用DES或Blowfish作為加密算法。 另外值得注意的是,管理員帳戶有兩個密碼。

固件逆向

固件文件為ARM ELF文件,在ELF文件上運行“binwalk”命令,找到“VxWorks”實時操作系統和LZMA壓縮數據的版本字符串。

如何PWN掉Scalance工控設備

lzma壓縮文件是設備的主要固件,對它進行解壓縮表明它是一個二進制文件,沒有可識別的文件簽名。hexdump解壓后的二進制文件表明它是arm固件。

如何PWN掉Scalance工控設備

由于固件已被識別并且格式可讀,因此可以將其作為ARM Little-endian二進制文件加載到IDA中。

如何PWN掉Scalance工控設備

對固件有效負載執行靜態分析,并且沒有關于設備內部的已知信息。 因此,固件的入口點尚不清楚。

發生這種情況時,可以使用默認地址0x00000000作為入口點。 但是,對函數和數據的引用將不準確。

如何PWN掉Scalance工控設備

查找入口點非常重要,因為它可以更容易地識別正在使用的代碼引用和跟蹤函數。有許多技術可以使用,由于固件使用VxWorks實時操作系統,因此存在快捷方式。

如何PWN掉Scalance工控設備

VxWorks符號表提供與字符串引用匹配的函數引用,允許固件中的每個函數都有一個定義其函數的名稱。通過標識固件啟動時使用“sysInit”函數找到該函數的入口點。

ram可以通過在代碼中設置的值來識別,還可以借助ida分析固件的其余部分。

如何PWN掉Scalance工控設備

密碼加密分析

我們可以找到單詞“password”的函數引用或找到任何類似加密的函數調用,重點放在blowfish或des加密上。在調用參數之前跟蹤加載到參數中的值,對于arm,這些值將在寄存器r0、r1、r2等中設置。

如何PWN掉Scalance工控設備

在“clieditpasswordset”函數中標識了blowfish函數調用,證明使用了可逆加密。blowfish測試函數是使用特定的常數來識別的,這些常數可以在網上搜索到,這樣就可以識別所使用的確切blowfish庫,該庫可以從github下載。

如何PWN掉Scalance工控設備

可以通過標識傳遞給寄存器r1的值來跟蹤用于blowfish的加密密鑰。寄存器r0將包含“ctx”變量,r1將包含密鑰,r2將包含密鑰的長度。

分析表明,用于管理員密碼的加密密鑰是“els_key”,但是嘗試使用此字符串解密用戶密碼失敗。進一步分析表明,加密使用了第二個密鑰,但無法靜態識別。

當處理相對簡單的軟件時,或者有很多時間跟蹤每個函數調用時,靜態分析非常有用。在這種情況下,我們無法通過靜態分析來識別用戶密碼的加密方法。

我們購買了scalance交換機,在主板上識別出jtag,將頭部焊接上,并將其連接到segger j-link jtag調試器。

如何PWN掉Scalance工控設備

使用segger gdb可以添加斷點并逐步遍歷固件的每個元素。由此,可以通過在調用函數時檢查寄存器設置來標識加密所使用的確切變量。

確定了以下密碼加密方法:

1、管理員密碼使用靜態密鑰“els_key”加密

2、第二個管理員密碼是一個靜態字符串“elsdebug”,它使用明文管理員密碼進行加密,用于確保管理員密碼與用戶密碼使用的加密相對應

3、所有其他用戶密碼也用明文管理員密碼加密

上述內容就是如何PWN掉Scalance工控設備,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

pwn
AI

苗栗县| 泰兴市| 虹口区| 罗江县| 迁安市| 元氏县| 彰武县| 营口市| 西安市| 汉源县| 平湖市| 若尔盖县| 盐边县| 蚌埠市| 天镇县| 恩施市| 普陀区| 云阳县| 甘南县| 民权县| 侯马市| 霞浦县| 石屏县| 丹巴县| 贵州省| 陆河县| 贵定县| 天等县| 金堂县| 诏安县| 海伦市| 敖汉旗| 仁寿县| 绥芬河市| 德州市| 舟山市| 乌拉特前旗| 阿瓦提县| 肥乡县| 桂平市| 满洲里市|