工控项目安全学习入门分析.doc

《工控项目安全学习入门分析.doc》由会员分享，可在线阅读，更多相关《工控项目安全学习入门分析.doc（15页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-_0x00 写在前面工业 4.0，物联网趋势化，工控安全实战化。安全从业保持敏感，本篇以科普角度对工控 安全做入门分析，大牛绕过，不喜轻喷。0x01 专业术语SCADA：数据采集与监视控制系统ICS：工业控制系统DCS：分布式控制系统/集散控制系统PCS：过程控制系统ESD：应急停车系统PLC：可编程序控制器(Programmable Logic Controller)-_RTU：远程终端控制系统IED：智能监测单元HMI：人机界面(Human Machine Interface)MIS：管理信息系统(Management Information System)SIS： 生产过程自动化监控和

2、管理系统（Supervisory Information System）MES：制造执行管理系统0x02 协议端口及测试脚本协议科普协议科普oModbusMODBUS 协议定义了一个与基础通信层无关的简单协议数据单元（PDU）。特定总线或 网络上的 MODBUS 协议映射能够在应用数据单元（ADU）上引入一些附加域。-_安全问题：缺乏认证：仅需要使用一个合法的 Modbus 地址和合法的功能码即可以建立一个 Modbus 会话缺乏授权：没有基于角色的访问控制机制， 任意用户可以执行任意的功能。缺乏加密：地址和命令明文传输， 可以很容易地捕获和解析oPROFIBUS一种用于工厂自动化车间级监控和

3、现场设备层数据通信与控制的现场总线技术，可实现现 场设备层到车间级监控的分散式数字控制和现场通信网络oDNP3DNP(Distributed Network Protocol,分布式网络协议)是一种应用于自动化组件之间的通讯 协议，常见于电力、水处理等行业。简化 OSI 模型，只包含了物理层，数据层与应用层的体系结构（EPA）。SCADA 可以使用 DNP 协议与主站、RTU、及 IED 进行通讯。oICCP电力控制中心通讯协议。oOPC过程控制的 OLE （OLE for Process Control）。OPC 包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。oBACn

4、et楼宇自动控制网络数据通讯协议（A Data Communication Protocol for Building Automation and Control Networks）。BACnet 协议是为计算机控制采暖、制冷、空调 HVAC 系统和其他建筑物设备系统定义服 务和协议oCIP通用工业协议，被 deviceNet、ControINet、EtherNet/IP 三种网络所采用。oSiemens S7-_属于第 7 层的协议，用于西门子设备之间进行交换数据，通过 TSAP，可加载 MPI,DP,以 太网等不同物理结构总线或网络上，PLC 一般可以通过封装好的通讯功能块实现。o其他工

5、控协议其他工控协议IEC 60870-5-104、EtherNet/IP、Tridium Niagara Fox、Crimson V3、OMRON FINS、PCWorx、ProConOs、MELSEC-Q。按需求自行查阅资料。信息探测信息探测o协议测试脚本协议测试脚本PS：简要测试，大量脚本自行测试。o相关搜索引擎相关搜索引擎Shodan 搜索-_PS：Shodan搜索引擎介绍 http:/drops.wooyun.org/tips/2469Zoomeye 搜索-_PS：敏感信息，你懂得。oEthernet/IP 44818nmap -p 44818 -script enip-enumera

6、te.nse 85.132.179.*oModbus 502nmap -script modicon-info.nse -Pn -p 502 -sV 91.83.43.*-_oIEC 61870-5-101/104 2404nmap -Pn -n -d -script iec-identify.nse -script-args=iec-identify -p 2404 80.34.253.*-_oSiemens S7 102nmap -p 102 -script s7-enumerate -sV 140.207.152.*-_nmap -d -script mms-identify.nse -

7、script-args=mms-identify.timeout=500 -p 102 IP-_-_oTridium Niagara Fox 1911nmap -p 1911 -script fox-info 99.55.238.*o意义何在意义何在上述 NSE 脚本意义：1.定位工控系统及协议模块。 2.收集目标工控的信息，如版本、内网 IP、模块、硬件信息等。 3.结合对应的 NSE 脚本进一步拓展，例如自定义空间搜素引擎。脚本资源脚本资源Github 测试脚本测试脚本https:/ tools https:/ tools https:/ 测试脚本测试脚本https:/www.exploi

8、t- https:/www.exploit- https:/www.exploit- 乌云工控漏洞的分析工控相关漏洞分析工控相关漏洞分析针对乌云主站的漏洞进行关键字搜索：工控(31)、SCADA(15)、Modbus(9)、PLC 并进一 步整合得到如下列表。-_在以上的漏洞列表中，可以得出如下结论：1.乌云工控漏洞的案例中，绝大多起因是弱口令(弱口令最多的是 123456，其次是 admin)、 注入类漏洞。 2.能够挖出工控的精华漏洞的人也是特定的那几位，且在 Kcon2015 也有过演讲。 3.挖掘此类漏洞主要解决两个问题 1.如何找到工控相关的系统和地址 2.Getshell 后，

9、基于工控知识如何操控系统 4.根据漏洞中的细节可以进一步的复测和拓展，进而为工控系统的漏洞挖掘提供非线性思路。1.结合 GHDB 关键字的搜素：例如 inurl:SCADA 2.链接地址含 SCADA、Modbus 等协议的关键字 3.其他 KEY：MIS、SIS、DCS、PLC、ICS、监控系统 4.相关公司：南京科远、金风科技、天能集团、国电南瑞、华润燃气、积成电子、重庆三峰、 东方电子 5.至于利用以上四点去做什么，呵呵工控精华漏洞分析工控精华漏洞分析-_乌云工控相关的精华漏洞如下 7 个，在思路亮点中分析了漏洞的核心，同样也可能是获得 打雷精华的理由。几乎共同点均是操控了对应的工控系统。0x04 参考资源工控专题oZoomEye 工控专题： http:/ics.zoomeye.org/oShodan 工控专题：https:/www.shodan.io/report/l7VjfVKc牛人分享oZ-0ne 专注于工控安全攻防技术研究 ：http:/plcscan.org/blog/o网络空间工控设备的发现与入侵：https:/ PLC on the internet（Z-0ne）： https:/ & baiduo协议安全分析专业公司科诺康：http:/ 通讯协议学习 - 认识篇： http:/