🥇 בעקבות הנינג'ה התעשייתי: איך PLC נפרץ ב-Positive Hack Days 9

ב-PHDays 9 האחרונים קיימנו תחרות לפריצת מפעל לשאיבת גז - תחרות נינג'ה תעשייתי. באתר היו שלושה דוכנים עם פרמטרי אבטחה שונים (No Security, Low Security, High Security), המדמים את אותו תהליך תעשייתי: אוויר בלחץ נשאב לבלון (ואז שוחרר).

למרות פרמטרי הבטיחות השונים, הרכב החומרה של המעמדים היה זהה: סדרת Siemens Simatic PLC S7-300; לחצן ניפוח חירום ומכשיר מדידת לחץ (מחובר לכניסות דיגיטליות של PLC (DI)); שסתומים הפועלים לניפוח וניפוח אוויר (מחוברים ליציאות הדיגיטליות של ה-PLC (DO)) - ראה את האיור שלהלן.

ה-PLC, בהתאם לקריאת הלחץ ובהתאם לתוכנית שלו, קיבל החלטה לרוקן או לנפח את הכדור (פתח וסגר את השסתומים המתאימים). עם זאת, לכל הדוכנים היה מצב בקרה ידני, שאיפשר לשלוט במצבי השסתומים ללא כל הגבלה.

הדוכנים היו שונים במורכבות של הפעלת מצב זה: בעמדה הבלתי מוגנת זה היה הכי קל לעשות זאת, ובדוכן High Security זה היה יותר קשה בהתאם.

חמש מתוך שש הבעיות נפתרו תוך יומיים; המשתתף במקום הראשון זכה ב-233 נקודות (הוא בילה שבוע בהכנות לתחרות). שלושה זוכים: מקום I - a1exdandy, II - Rubikoid, III - Ze.

עם זאת, במהלך PHDays אף אחד מהמשתתפים לא הצליח להתגבר על שלושת הדוכנים, אז החלטנו לערוך תחרות מקוונת ופרסמנו את המשימה הקשה ביותר בתחילת יוני. המשתתפים היו צריכים להשלים את המשימה תוך חודש, למצוא את הדגל, ולתאר את הפתרון בפירוט ובצורה מעניינת.

מתחת לגזרה אנו מפרסמים ניתוח של הפתרון הטוב ביותר למשימה מאלה שנשלחו במהלך החודש, הוא נמצא על ידי Alexey Kovriznykh (a1exdandy) מחברת Digital Security, שתפס את המקום הראשון בתחרות במהלך PHDays. להלן אנו מציגים את הטקסט שלה עם הערותינו.

ניתוח ראשוני

אז, המשימה הכילה ארכיון עם הקבצים הבאים:

block_upload_traffic.pcapng
DB100.bin
hints.txt

קובץ hints.txt מכיל את המידע והרמזים הדרושים לפתרון המשימה. להלן תוכנו:

פטרוביץ' אמר לי אתמול שאתה יכול לטעון בלוקים מ- PlcSim לשלב 7.

בדוכן נעשה שימוש ב-PLC מסדרת Siemens Simatic S7-300.

PlcSim הוא אמולטור PLC המאפשר לך להפעיל ולאפות באגים בתוכניות עבור PLCs של סימנס S7.

נראה שהקובץ DB100.bin מכיל את בלוק הנתונים DB100 PLC: 00000000: 0100 0102 6e02 0401 0206 0100 0101 0102 ....n......... 00000010: 1002 0501 0202 2002 0501 0206 . ..... ......... 0100: 0102 00000020 0102 7702 0401 0206 0100 0103a0102 ..w............. 0: 02 00000030 0501 0202 1602 0501 ................... 0206 0100............0104. 0102: 00000040 7502 0401 0206 0100 0105 0102 0 ......... & ..... 02: 0501C00000050 0202 1602 0501 0206 0100 0106 0102 L ......... 3402. 4 : 00000060 0401 0206 0100 0107a0102 2602 0501 0202 ................ 00000070: 4 02 0501 0206a 0100 0108 0102 3302 ........... 0401a3: 00000080 0206b 0100 0109 0102 0 02 0501 ......".....F... 0202b1602: 00000090 0501 0206c 0100 010 0102 ........... .. 3702c0401: 0206d 7 000000a0 0100 010 0102 2202 0501 ................ 0202d4602: 0501 000000e 0 0206d0100 010 0102 3302 . .... 0401e0206: 0100 3 000000 0 010 0102 0 02 ........#...... 0501f0202: 1602 0501 0206 000000 0 0100 ..... 010 0102 ..... ..... 6: 02 0401 0206 0100 010 000000 0 0102 ......%......... 1102: 0501 0202 2302 0501 0206 0100 .. .. .....&. 000000: 0 0110 0102c3502 0401 0206 0100 ....L......

כפי שהשם מרמז, הקובץ block_upload_traffic.pcapng מכיל dump של תעבורת העלאה בלוק ל-PLC.

ראוי לציין שהמזבלה הזו באתר התחרות במהלך הכנס הייתה קצת יותר קשה להשגה. לשם כך, היה צורך להבין את הסקריפט מקובץ הפרויקט עבור TeslaSCADA2. ממנו ניתן היה להבין היכן נמצא ה-dump המוצפן באמצעות RC4 ובאיזה מפתח צריך להשתמש כדי לפענח אותו. ניתן היה להשיג השלכות של בלוקי נתונים באתר באמצעות לקוח פרוטוקול S7. לשם כך השתמשתי בלקוח ההדגמה מחבילת Snap7.

חילוץ בלוקים לעיבוד אותות ממזבלה של תנועה

בהסתכלות על התוכן של ה-dump, אתה יכול להבין שהוא מכיל בלוקים לעיבוד אותות OB1, FC1, FC2 ו-FC3:

יש להסיר את הבלוקים הללו. ניתן לעשות זאת, למשל, עם הסקריפט הבא, לאחר שהמיר בעבר את התעבורה מפורמט pcapng ל-pcap:

#!/usr/bin/env python2

import struct
from scapy.all import *

packets = rdpcap('block_upload_traffic.pcap')
s7_hdr_struct = '>BBHHHHBB'
s7_hdr_sz = struct.calcsize(s7_hdr_struct)
tpkt_cotp_sz = 7
names = iter(['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin'])
buf = ''

for packet in packets:
    if packet.getlayer(IP).src == '10.0.102.11':
        tpkt_cotp_s7 = str(packet.getlayer(TCP).payload)
        if len(tpkt_cotp_s7) < tpkt_cotp_sz + s7_hdr_sz:
            continue
        s7 = tpkt_cotp_s7[tpkt_cotp_sz:]
        s7_hdr = s7[:s7_hdr_sz]
        param_sz = struct.unpack(s7_hdr_struct, s7_hdr)[4]
        s7_param = s7[12:12+param_sz]
        s7_data = s7[12+param_sz:]
        if s7_param in ('x1ex00', 'x1ex01'):  # upload
            buf += s7_data[4:]
        elif s7_param == 'x1f':
            with open(next(names), 'wb') as f:
                f.write(buf)
            buf = ''

לאחר בחינת הבלוקים המתקבלים, תבחין שהם תמיד מתחילים עם בתים 70 70 (עמוד). עכשיו אתה צריך ללמוד איך לנתח אותם. הרמז להקצאה מציע שעליך להשתמש ב- PlcSim לשם כך.

קבלת הוראות הניתנות לקריאה על ידי אדם מבלוקים

ראשית, בואו ננסה לתכנת את S7-PlcSim על ידי טעינת מספר בלוקים עם הוראות חוזרות (= Q 0.0) לתוכו באמצעות תוכנת Simatic Manager, ושמירת ה-PLC שהתקבל באמולטור לקובץ example.plc. על ידי התבוננות בתוכן הקובץ, תוכל לקבוע בקלות את תחילת הבלוקים שהורדו על ידי החתימה 70 70, שגילינו קודם לכן. לפני הבלוקים, ככל הנראה, גודל הבלוק נכתב כערך אנדיאן קטן של 4 בתים.

לאחר שקיבלנו מידע על מבנה קבצי plc, הופיעה תוכנית הפעולה הבאה לקריאת תוכניות PLC S7:

באמצעות Simatic Manager, אנו יוצרים מבנה בלוק ב-S7-PlcSim דומה לזה שקיבלנו מה-dump. גדלי הבלוקים חייבים להתאים (זה מושג על ידי מילוי הבלוקים במספר ההוראות הנדרש) והמזהים שלהם (OB1, FC1, FC2, FC3).
שמור את ה-PLC לקובץ.
אנו מחליפים את תוכן הבלוקים בקובץ המתקבל בבלוקים מ-Traffic dump. תחילת הבלוקים נקבעת על ידי החתימה.
אנו טוענים את הקובץ המתקבל לתוך S7-PlcSim ומסתכלים על תוכן הבלוקים ב-Simatic Manager.

ניתן להחליף בלוקים, למשל, בקוד הבא:

with open('original.plc', 'rb') as f:
    plc = f.read()
blocks = []
for fname in ['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin']:
    with open(fname, 'rb') as f:
        blocks.append(f.read())

i = plc.find(b'pp')
for block in blocks:
    plc = plc[:i] + block + plc[i+len(block):]
    i = plc.find(b'pp', i + 1)

with open('target.plc', 'wb') as f:
    f.write(plc)

אלכסיי לקח דרך אולי קשה יותר, אבל עדיין נכונה. הנחנו שהמשתתפים ישתמשו בתוכנית NetToPlcSim כדי ש- PlcSim תוכל לתקשר דרך הרשת, להעלות בלוקים ל- PlcSim דרך Snap7, ואז להוריד את הבלוקים האלה כפרויקט מ- PlcSim באמצעות סביבת הפיתוח.

על ידי פתיחת הקובץ שנוצר ב-S7-PlcSim, אתה יכול לקרוא את הבלוקים שהוחלפו באמצעות ה-Simatic Manager. פונקציות בקרת ההתקן העיקריות נרשמות בבלוק FC1. ראוי לציין במיוחד את המשתנה #TEMP0, שכאשר מופעל נראה כי הוא מגדיר את בקרת ה-PLC למצב ידני בהתבסס על ערכי הזיכרון M2.2 ו-M2.3. הערך #TEMP0 נקבע על ידי הפונקציה FC3.

כדי לפתור את הבעיה, עליך לנתח את פונקציית FC3 ולהבין מה צריך לעשות כדי שהיא תחזיר פונקציה הגיונית.

בלוקים לעיבוד אותות PLC בדוכן Low Security באתר התחרות היו מסודרים בצורה דומה, אבל כדי להגדיר את הערך של המשתנה #TEMP0, זה היה מספיק לכתוב את השורה שלי דרך הנינג'ה לתוך בלוק DB1. בדיקת הערך בבלוק הייתה פשוטה ולא דרשה ידע מעמיק בשפת התכנות הבלוק. ברור שברמת האבטחה הגבוהה, השגת שליטה ידנית תהיה הרבה יותר קשה ויש צורך להבין את המורכבויות של שפת STL (אחת הדרכים לתכנת את ה-S7 PLC).

בלוק הפוך FC3

התוכן של בלוק FC3 בייצוג STL:

      L     B#16#0
      T     #TEMP13
      T     #TEMP15
      L     P#DBX 0.0
      T     #TEMP4
      CLR   
      =     #TEMP14
M015: L     #TEMP4
      LAR1  
      OPN   DB   100
      L     DBLG
      TAR1  
      <=D   
      JC    M016
      L     DW#16#0
      T     #TEMP0
      L     #TEMP6
      L     W#16#0
      <>I   
      JC    M00d
      L     P#DBX 0.0
      LAR1  
M00d: L     B [AR1,P#0.0]
      T     #TEMP5
      L     W#16#1
      ==I   
      JC    M007
      L     #TEMP5
      L     W#16#2
      ==I   
      JC    M008
      L     #TEMP5
      L     W#16#3
      ==I   
      JC    M00f
      L     #TEMP5
      L     W#16#4
      ==I   
      JC    M00e
      L     #TEMP5
      L     W#16#5
      ==I   
      JC    M011
      L     #TEMP5
      L     W#16#6
      ==I   
      JC    M012
      JU    M010
M007: +AR1  P#1.0
      L     P#DBX 0.0
      LAR2  
      L     B [AR1,P#0.0]
      L     C#8
      *I    
      +AR2  
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M003
      JU    M001
      JU    M002
      JU    M004
M003: JU    M005
M001: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP0
      JU    M006
M002: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP1
      JU    M006
M004: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP2
      JU    M006
M00f: +AR1  P#1.0
      L     B [AR1,P#0.0]
      L     C#8
      *I    
      T     #TEMP11
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      TAR1  #TEMP4
      OPN   DB   101
      L     P#DBX 0.0
      LAR1  
      L     #TEMP11
      +AR1  
      LAR2  #TEMP9
      L     B [AR2,P#0.0]
      T     B [AR1,P#0.0]
      L     #TEMP4
      LAR1  
      JU    M006
M008: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP3
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M009
      JU    M00b
      JU    M00a
      JU    M00c
M009: JU    M005
M00b: L     #TEMP3
      T     #TEMP0
      JU    M006
M00a: L     #TEMP3
      T     #TEMP1
      JU    M006
M00c: L     #TEMP3
      T     #TEMP2
      JU    M006
M00e: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      AW    
      INVI  
      T     #TEMP12
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      OW    
      L     #TEMP12
      AW    
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #TEMP0
      L     MB   101
      T     #TEMP1
      L     MB   102
      T     #TEMP2
      L     #TEMP4
      LAR1  
      JU    M006
M011: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      -I    
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #TEMP0
      L     MB   101
      T     #TEMP1
      L     MB   102
      T     #TEMP2
      L     #TEMP4
      LAR1  
      JU    M006
M012: L     #TEMP15
      INC   1
      T     #TEMP15
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      ==I   
      JCN   M013
      JU    M014
M013: L     P#DBX 0.0
      LAR1  
      T     #TEMP4
      L     B#16#0
      T     #TEMP6
      JU    M006
M014: L     #TEMP4
      LAR1  
      L     #TEMP13
      L     L#1
      +I    
      T     #TEMP13
      JU    M006
M006: L     #TEMP0
      T     MB   100
      L     #TEMP1
      T     MB   101
      L     #TEMP2
      T     MB   102
      +AR1  P#1.0
      L     #TEMP6
      +     1
      T     #TEMP6
      JU    M005
M010: L     P#DBX 0.0
      LAR1  
      L     0
      T     #TEMP6
      TAR1  #TEMP4
M005: TAR1  #TEMP4
      CLR   
      =     #TEMP16
      L     #TEMP13
      L     L#20
      ==I   
      S     #TEMP16
      L     #TEMP15
      ==I   
      A     #TEMP16
      JC    M017
      L     #TEMP13
      L     L#20
      <I    
      S     #TEMP16
      L     #TEMP15
      ==I   
      A     #TEMP16
      JC    M018
      JU    M019
M017: SET   
      =     #TEMP14
      JU    M016
M018: CLR   
      =     #TEMP14
      JU    M016
M019: CLR   
      O     #TEMP14
      =     #RET_VAL
      JU    M015
M016: CLR   
      O     #TEMP14
      =     #RET_VAL

הקוד די ארוך ועשוי להיראות מסובך למי שלא מכיר את STL. אין טעם לנתח כל הוראה במסגרת מאמר זה; ניתן למצוא הוראות ויכולות מפורטות של שפת STL במדריך המתאים: רשימת הצהרות (STL) עבור תכנות S7-300 ו-S7-400. כאן אציג את אותו הקוד לאחר עיבוד - שינוי שמות התוויות והמשתנים והוספת הערות המתארות את אלגוריתם הפעולה וכמה מבני שפת STL. הרשו לי מיד לציין כי הבלוק המדובר מכיל מכונה וירטואלית שמבצעת קוד בתים כלשהו הנמצא בבלוק DB100, שאת תוכנו אנו יודעים. הוראות מכונה וירטואלית מורכבות מבייט אחד של קוד הפעלה ובייטים של ארגומנטים, בייט אחד לכל ארגומנט. לכל ההוראות הנחשבות יש שני טיעונים; ציינתי את הערכים שלהן בהערות כ-X ו-Y.

קוד לאחר עיבוד]

# Инициализация различных переменных
      L     B#16#0
      T     #CHECK_N        # Счетчик успешно пройденных проверок
      T     #COUNTER_N      # Счетчик общего количества проверок
      L     P#DBX 0.0
      T     #POINTER        # Указатель на текущую инструкцию
      CLR   
      =     #PRE_RET_VAL

# Основной цикл работы интерпретатора байт-кода
LOOP: L     #POINTER
      LAR1  
      OPN   DB   100
      L     DBLG
      TAR1  
      <=D                   # Проверка выхода указателя за пределы программы
      JC    FINISH
      L     DW#16#0
      T     #REG0
      L     #TEMP6
      L     W#16#0
      <>I   
      JC    M00d
      L     P#DBX 0.0
      LAR1  

# Конструкция switch - case для обработки различных опкодов
M00d: L     B [AR1,P#0.0]
      T     #OPCODE
      L     W#16#1
      ==I   
      JC    OPCODE_1
      L     #OPCODE
      L     W#16#2
      ==I   
      JC    OPCODE_2
      L     #OPCODE
      L     W#16#3
      ==I   
      JC    OPCODE_3
      L     #OPCODE
      L     W#16#4
      ==I   
      JC    OPCODE_4
      L     #OPCODE
      L     W#16#5
      ==I   
      JC    OPCODE_5
      L     #OPCODE
      L     W#16#6
      ==I   
      JC    OPCODE_6
      JU    OPCODE_OTHER

# Обработчик опкода 01: загрузка значения из DB101[X] в регистр Y
# OP01(X, Y): REG[Y] = DB101[X]
OPCODE_1: +AR1  P#1.0
      L     P#DBX 0.0
      LAR2  
      L     B [AR1,P#0.0]   # Загрузка аргумента X (индекс в DB101)
      L     C#8
      *I    
      +AR2  
      +AR1  P#1.0
      L     B [AR1,P#0.0]   # Загрузка аргумента Y (индекс регистра)
      JL    M003            # Аналог switch - case на основе значения Y
      JU    M001            # для выбора необходимого регистра для записи.
      JU    M002            # Подобные конструкции используются и в других
      JU    M004            # операциях ниже для аналогичных целей
M003: JU    LOOPEND
M001: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG0           # Запись значения DB101[X] в REG[0]
      JU    PRE_LOOPEND
M002: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG1           # Запись значения DB101[X] в REG[1]
      JU    PRE_LOOPEND
M004: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG2           # Запись значения DB101[X] в REG[2]
      JU    PRE_LOOPEND

# Обработчик опкода 02: загрузка значения X в регистр Y
# OP02(X, Y): REG[Y] = X
OPCODE_2: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP3
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M009
      JU    M00b
      JU    M00a
      JU    M00c
M009: JU    LOOPEND
M00b: L     #TEMP3
      T     #REG0
      JU    PRE_LOOPEND
M00a: L     #TEMP3
      T     #REG1
      JU    PRE_LOOPEND
M00c: L     #TEMP3
      T     #REG2
      JU    PRE_LOOPEND

# Опкод 03 не используется в программе, поэтому пропустим его
...

# Обработчик опкода 04: сравнение регистров X и Y
# OP04(X, Y): REG[0] = 0; REG[X] = (REG[X] == REG[Y])
OPCODE_4: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7          # первый аргумент - X
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          # REG[X]
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9          # REG[X]
      LAR2  #TEMP10         # REG[Y]
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      AW    
      INVI  
      T     #TEMP12         # ~(REG[Y] & REG[X])
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      OW    
      L     #TEMP12
      AW                    # (~(REG[Y] & REG[X])) & (REG[Y] | REG[X]) - аналог проверки на равенство
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #REG0
      L     MB   101
      T     #REG1
      L     MB   102
      T     #REG2
      L     #POINTER
      LAR1  
      JU    PRE_LOOPEND

# Обработчик опкода 05: вычитание регистра Y из X
# OP05(X, Y): REG[0] = 0; REG[X] = REG[X] - REG[Y]
OPCODE_5: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          # REG[X]
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      -I                    # ACCU1 = ACCU2 - ACCU1, REG[X] - REG[Y]
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #REG0
      L     MB   101
      T     #REG1
      L     MB   102
      T     #REG2
      L     #POINTER
      LAR1  
      JU    PRE_LOOPEND

# Обработчик опкода 06: инкремент #CHECK_N при равенстве регистров X и Y
# OP06(X, Y): #CHECK_N += (1 if REG[X] == REG[Y] else 0)
OPCODE_6: L     #COUNTER_N
      INC   1
      T     #COUNTER_N
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7          #  REG[X]     
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          #  REG[X]  
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9          # REG[Y]
      LAR2  #TEMP10         # REG[X]
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      ==I   
      JCN   M013
      JU    M014
M013: L     P#DBX 0.0
      LAR1  
      T     #POINTER
      L     B#16#0
      T     #TEMP6
      JU    PRE_LOOPEND
M014: L     #POINTER
      LAR1  
# Инкремент значения #CHECK_N
      L     #CHECK_N
      L     L#1
      +I    
      T     #CHECK_N
      JU    PRE_LOOPEND

PRE_LOOPEND: L     #REG0
      T     MB   100
      L     #REG1
      T     MB   101
      L     #REG2
      T     MB   102
      +AR1  P#1.0
      L     #TEMP6
      +     1
      T     #TEMP6
      JU    LOOPEND

OPCODE_OTHER: L     P#DBX 0.0
      LAR1  
      L     0
      T     #TEMP6
      TAR1  #POINTER

LOOPEND: TAR1  #POINTER
      CLR   
      =     #TEMP16
      L     #CHECK_N
      L     L#20
      ==I   
      S     #TEMP16
      L     #COUNTER_N
      ==I   
      A     #TEMP16
# Все проверки пройдены, если #CHECK_N == #COUNTER_N == 20
      JC    GOOD
      L     #CHECK_N
      L     L#20
      <I    
      S     #TEMP16
      L     #COUNTER_N
      ==I   
      A     #TEMP16
      JC    FAIL
      JU    M019
GOOD: SET   
      =     #PRE_RET_VAL
      JU    FINISH
FAIL: CLR   
      =     #PRE_RET_VAL
      JU    FINISH
M019: CLR   
      O     #PRE_RET_VAL
      =     #RET_VAL
      JU    LOOP
FINISH: CLR   
      O     #PRE_RET_VAL
      =     #RET_VAL

לאחר שקיבלנו מושג על הוראות המכונה הוירטואלית, בוא נכתוב מפרק קטן כדי לנתח את קוד הבתים בבלוק DB100:

import string
alph = string.ascii_letters + string.digits

with open('DB100.bin', 'rb') as f:
    m = f.read()

pc = 0

while pc < len(m):
    op = m[pc]
    if op == 1:
        print('R{} = DB101[{}]'.format(m[pc + 2], m[pc + 1]))
        pc += 3
    elif op == 2:
        c = chr(m[pc + 1])
        c = c if c in alph else '?'
        print('R{} = {:02x} ({})'.format(m[pc + 2], m[pc + 1], c))
        pc += 3
    elif op == 4:
        print('R0 = 0; R{} = (R{} == R{})'.format(
            m[pc + 1], m[pc + 1], m[pc + 2]))
        pc += 3
    elif op == 5:
        print('R0 = 0; R{} = R{} - R{}'.format(
            m[pc + 1], m[pc + 1], m[pc + 2]))
        pc += 3
    elif op == 6:
        print('CHECK (R{} == R{})n'.format(
            m[pc + 1], m[pc + 2]))
        pc += 3
    else:
        print('unk opcode {}'.format(op))
        break

כתוצאה מכך, אנו מקבלים את קוד המחשב הווירטואלי הבא:

קוד מכונה וירטואלית

R1 = DB101[0]
R2 = 6e (n)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[1]
R2 = 10 (?)
R0 = 0; R1 = R1 - R2
R2 = 20 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[2]
R2 = 77 (w)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[3]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[4]
R2 = 75 (u)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[5]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[6]
R2 = 34 (4)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[7]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[8]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[9]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[10]
R2 = 37 (7)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[11]
R2 = 22 (?)
R0 = 0; R1 = R1 - R2
R2 = 46 (F)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[12]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[13]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[14]
R2 = 6d (m)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[15]
R2 = 11 (?)
R0 = 0; R1 = R1 - R2
R2 = 23 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[16]
R2 = 35 (5)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[17]
R2 = 12 (?)
R0 = 0; R1 = R1 - R2
R2 = 25 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[18]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[19]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

כפי שאתה יכול לראות, תוכנית זו פשוט בודקת כל תו מ-DB101 עבור שוויון לערך מסוים. השורה האחרונה למעבר כל המחאות היא: n0w u 4r3 7h3 m4573r. אם הקו הזה ממוקם בבלוק DB101, אזי מופעלת בקרת PLC ידנית וניתן יהיה לפוצץ או לרוקן את הבלון. 

זה הכל! אלכסיי הפגין רמת ידע גבוהה הראויה לנינג'ה תעשייתי :) שלחנו פרסים בלתי נשכחים לזוכה. תודה רבה לכל המשתתפים!

מקור: www.habr.com

בעקבות הנינג'ה התעשייתי: איך PLC נפרץ ב-Positive Hack Days 9

ניתוח ראשוני

חילוץ בלוקים לעיבוד אותות ממזבלה של תנועה

קבלת הוראות הניתנות לקריאה על ידי אדם מבלוקים

בלוק הפוך FC3

הוספת תגובה ביטול תגובה